记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

百度某分站储存型xss可以加载外部任意js文件

2013-11-23 13:55
漏洞测试地址:http://pro.baidu.com/blog/article/282.html
 
百度基本上全站都已经部署了httponly了,所以xss的威力已经大大折扣了。
 
不过这里是自动触发的xss,并且可以加载任意外部js文件。去利用js代码执行一些用户的操作,或者钓鱼下还是可以的。
 
 


修复方案:
那个位置貌似除了script,其他啥都没过滤,加强过滤

知识来源: www.2cto.com/Article/201311/259411.html

阅读:100458 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“百度某分站储存型xss可以加载外部任意js文件”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云