路由侠社区
标题: 路由侠论坛警报<img src=1 onerror=alert(/Test/) > [打印本页]
作者: xy1844 时间: 2018-12-31 23:34
标题: 路由侠论坛警报<img src=1 onerror=alert(/Test/) >
- discuz 国内开源的论坛程序。
- xss漏洞 常见的web的漏洞一种。分为三类。其中存储型危害最大。
- cookie 网址通过cookie记录用户的状态。无需密码即可登录。
正文
这其实是很早以前的洞
突然发现路由侠论坛discuz版本刚好符合,也测试了一番,可行的
下面放出为处理的代码
- xxxxxxxxxxx 审核不给过啊 也就是img的执行错误代码,懂得应该懂 如标题
危害
此漏洞可以插入任意js,虽然长度有限制。但是可以插入远程js
甚至可以读取用户token来进行xss worm
危害还是挺大的
望管理员尽早修复
| 欢迎光临 路由侠社区 (http://bbs.luyouxia.com/) |
Powered by Discuz! X3.2 |