龍影 (KIK網(wǎng)絡(luò)聯(lián)盟) 轉(zhuǎn)載請(qǐng)注明出自紅黑聯(lián)盟(www.7747.net)
007博客網(wǎng)再次暴出XSS漏洞 本以為上一個(gè)XSS漏洞 已經(jīng)修補(bǔ)
誰(shuí)知道上個(gè)漏洞仍然存在 這時(shí)才明白管理員不會(huì)修補(bǔ)漏洞 只是
把修改模板的權(quán)限修改了以下 這個(gè)并不能解決問(wèn)題 只要天天登陸博客
注冊(cè)用戶就會(huì)升級(jí)到所允許修改模板的等級(jí) 希望官方盡快想辦法解決這個(gè)漏洞
我們來(lái)看這次的兩個(gè)XSS漏洞
1.漏洞成因:管理員忽略了過(guò)濾vbscript,因此造成了一個(gè)非常嚴(yán)重的跨站漏洞的出現(xiàn)
示例:
---------------------------------------------------------------------------------------------------------------------------------------------
2.漏洞成因:我們知道對(duì)于backgroud樣式屬性是需要嵌套u(yù)rl才能引用XSS代碼的,如果直接把代碼寫(xiě)進(jìn)backgroud是不能運(yùn)行的,因?yàn)槿鄙倭艘粋(gè)觸發(fā)機(jī)制,
007博客網(wǎng)再暴XSS漏洞
,電腦資料
《007博客網(wǎng)再暴XSS漏洞》(http://m.clearvueentertainment.com)。而table標(biāo)簽會(huì)自動(dòng)加載內(nèi)部?jī)?nèi)容——相當(dāng)與eval。(如果你上一個(gè)比較慢的空間,并且整個(gè)空間只有一個(gè)table,那么你會(huì)發(fā)現(xiàn)直到整個(gè)table數(shù)據(jù)全部下載到本地才能顯示網(wǎng)頁(yè)內(nèi)容,原因即是如此)示例:
sth or noting