路由侠论坛警报<img src=1 onerror=alert(/Test/) >

xy1844

     概念说明

• discuz 国内开源的论坛程序。
• xss漏洞 常见的web的漏洞一种。分为三类。其中存储型危害最大。
• cookie 网址通过cookie记录用户的状态。无需密码即可登录。
  

        正文

       这其实是很早以前的洞

突然发现路由侠论坛discuz版本刚好符合，也测试了一番，可行的

下面放出为处理的代码

1. xxxxxxxxxxx 审核不给过啊  也就是img的执行错误代码，懂得应该懂  如标题

复制代码

危害

此漏洞可以插入任意js，虽然长度有限制。但是可以插入远程js

甚至可以读取用户token来进行xss worm

危害还是挺大的

望管理员尽早修复