007博客网再次暴出XSS漏洞 本以为上一个XSS漏洞 已经修补
谁知道上个漏洞仍然存在 这时才明白管理员不会修补漏洞 只是
把修改模板的权限修改了以下 这个并不能解决问题 只要天天登陆博客
注册用户就会升级到所允许修改模板的等级 希望官方尽快想办法解决这个漏洞
我们来看这次的两个XSS漏洞
1.漏洞成因:管理员忽略了过滤vbscript,因此造成了一个非常严重的跨站漏洞的出现
示例:
---------------------------------------------------------------------------------------------------------------------------------------------
2.漏洞成因:我们知道对于backgroud样式属性是需要嵌套url才能引用XSS代码的,如果直接把代码写进backgroud是不能运行的,因为缺少了一个触发机制,
007博客网XSS漏洞分析
,电脑资料
《007博客网XSS漏洞分析》(http://meiwen.anslib.com)。而table标签会自动加载内部内容——相当与eval。(如果你上一个比较慢的空间,并且整个空间只有一个table,那么你会发现直到整个table数据全部下载到本地才能显示网页内容,原因即是如此)示例:javascript:alert(/xss/)">
javascript:TheId.innerHTML=%22