设为首页收藏本站

路由侠社区

 找回密码
 立即注册
查看: 3533|回复: 0
打印 上一主题 下一主题

路由侠论坛警报<img src=1 onerror=alert(/Test/) >

[复制链接]

2

主题

30

帖子

278

流量

注册会员

Rank: 2

积分
316
QQ
跳转到指定楼层
楼主
发表于 2018-12-31 23:34:01 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
     概念说明

  • discuz 国内开源的论坛程序。
  • xss漏洞 常见的web的漏洞一种。分为三类。其中存储型危害最大。
  • cookie 网址通过cookie记录用户的状态。无需密码即可登录。
        正文



       这其实是很早以前的洞

突然发现路由侠论坛discuz版本刚好符合,也测试了一番,可行的

下面放出为处理的代码

  1. xxxxxxxxxxx 审核不给过啊  也就是img的执行错误代码,懂得应该懂  如标题
复制代码


危害

此漏洞可以插入任意js,虽然长度有限制。但是可以插入远程js

甚至可以读取用户token来进行xss worm

危害还是挺大的

望管理员尽早修复



<script>alert(&quot;HI,I AM XY&quot;)</script>
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|LuYouXia Inc. ( 粤ICP备16061095号-1  

GMT+8, 2024-11-22 18:40 , Processed in 0.065861 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表