51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 10844|回复: 27
打印 上一主题 下一主题

论坛竟然存在XSS漏洞,不可思议~不可思议

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2010-4-22 16:14:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式



貌似这个漏洞之前已经公布了,难道没有注意,保存型的XSS漏洞,禁用discuz代码和img代码同样能执行!~
,怎么说呢,问题没想象的严重,主要是因为普通用户没有权限访问别人的控制面板。
建议:
1.修改memcp.php文件,过滤个人签名文字
2.禁用个人签名

哎,国内做安全测试的实在是太少了,努力找工作中~~~~

[ 本帖最后由 flaw0r 于 2010-4-26 18:33 编辑 ]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-8 19:23
  • 签到天数: 137 天

    连续签到: 1 天

    [LV.7]测试师长

    2#
    发表于 2010-4-26 14:02:17 | 只看该作者
    不太明白!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
    发表于 2010-4-26 17:02:08 | 只看该作者
    test for the xss
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
    发表于 2010-5-10 10:36:15 | 只看该作者
    能说详细点吗
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5#
    发表于 2010-7-1 11:32:16 | 只看该作者
    厉害呀,其实论坛很多这种漏洞的,只是没人关心而已
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
    发表于 2010-7-5 00:02:47 | 只看该作者
    <script>alert("xss")</script>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2010-7-14 17:27:10 | 只看该作者
    原帖由 波罗先生 于 2010-5-10 10:36 发表
    能说详细点吗

    赞同!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-8 19:23
  • 签到天数: 137 天

    连续签到: 1 天

    [LV.7]测试师长

    8#
    发表于 2010-7-16 23:23:56 | 只看该作者
    影响不是很大,至少对服务器没影响,只是影响用户
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2010-8-9 11:29:37 | 只看该作者


    [ 本帖最后由 felix87 于 2010-8-9 11:30 编辑 ]
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    10#
    发表于 2010-8-9 17:22:35 | 只看该作者
    这个图 是P的。。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11#
    发表于 2010-10-25 16:55:19 | 只看该作者
    呵呵 正学习安全测试
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    12#
    发表于 2010-11-29 19:31:12 | 只看该作者
    <script>alert("xss")</script>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    13#
    发表于 2011-1-25 15:09:49 | 只看该作者
    去,我以前这样试过,怎么没有出现 上面的情况
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    14#
    发表于 2011-2-1 14:42:59 | 只看该作者
    回复 8# msnshow


        此言差矣。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    15#
    发表于 2011-2-12 11:19:26 | 只看该作者
    <script>alert("xss")</script>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    16#
    发表于 2011-4-1 16:01:07 | 只看该作者
    貌似假的~~偶没发现这问题!!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    17#
    发表于 2011-4-13 10:38:16 | 只看该作者
    <script>alert("xss")</script>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    18#
     楼主| 发表于 2011-4-17 11:31:44 | 只看该作者
    是假的吗?非也,
    测试代码:
    </textarea><script>alert(/flaw0r/);</script><textarea>

    个人签名处输入即可!~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    19#
    发表于 2011-4-19 13:51:02 | 只看该作者
    <script>alert("xss")</script>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    20#
    发表于 2011-6-8 15:42:20 | 只看该作者
    <script>alert("xss")</script>
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 14:37 , Processed in 0.084346 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表