论坛竟然存在XSS漏洞，不可思议~不可思议

flaw0r · 发表于 2010-4-22 16:14:40

貌似这个漏洞之前已经公布了，难道没有注意，保存型的XSS漏洞，禁用discuz代码和img代码同样能执行！~
，怎么说呢，问题没想象的严重，主要是因为普通用户没有权限访问别人的控制面板。
建议：
1.修改memcp.php文件，过滤个人签名文字
2.禁用个人签名

哎，国内做安全测试的实在是太少了，努力找工作中~~~~

[ 本帖最后由 flaw0r 于 2010-4-26 18:33 编辑 ]

msnshow · 发表于 2010-4-26 14:02:17

不太明白！

davidxing · 发表于 2010-4-26 17:02:08

test for the xss

波罗先生 · 发表于 2010-5-10 10:36:15

能说详细点吗

ljdfdd · 发表于 2010-7-1 11:32:16

厉害呀,其实论坛很多这种漏洞的,只是没人关心而已

lx040114 · 发表于 2010-7-5 00:02:47

huangqy · 发表于 2010-7-14 17:27:10

原帖由 波罗先生 于 2010-5-10 10:36 发表
能说详细点吗

赞同！

msnshow · 发表于 2010-7-16 23:23:56

影响不是很大，至少对服务器没影响，只是影响用户

felix87 · 发表于 2010-8-9 11:29:37

[ 本帖最后由 felix87 于 2010-8-9 11:30 编辑 ]

ryugun · 发表于 2010-8-9 17:22:35

这个图是P的。。。

12qwsa · 发表于 2010-10-25 16:55:19

呵呵正学习安全测试

qingsang · 发表于 2010-11-29 19:31:12

he_jian · 发表于 2011-1-25 15:09:49

去，我以前这样试过，怎么没有出现　上面的情况

noevil · 发表于 2011-2-1 14:42:59

回复 8# msnshow

此言差矣。

gaichifanle · 发表于 2011-2-12 11:19:26

moonet · 发表于 2011-4-1 16:01:07

貌似假的～～偶没发现这问题！！

jiawa99 · 发表于 2011-4-13 10:38:16

flaw0r · 发表于 2011-4-17 11:31:44

是假的吗？非也，
测试代码：
</textarea><script>alert(/flaw0r/);</script><textarea>

个人签名处输入即可！~

chuck17 · 发表于 2011-4-19 13:51:02

mfq666 · 发表于 2011-6-8 15:42:20

		自动登录	找回密码
密码			(注-册)加入51Testing

论坛竟然存在XSS漏洞，不可思议~不可思议

相关帖子

站长推荐 /1