Topic: cjsdn也有html注入攻击的潜在危险,请看效果图!!! |
 Print this page
|
| 1.cjsdn也有html注入攻击的潜在危险,请看效果图!!! | Copy to clipboard |
|
Posted by: bluepure Posted on: 2005-02-19 23:38 操作步骤如下: 1.打开注册表, 添加下面的值: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "<script>alert('test')</script>"="" 2退出注册表程序。 3。重新启动浏览器, 访问从sjsdn,然后登陆,然后打开连接: http://www.cjsdn.net/user/online 下面是效果图: (还好cjsdn的显示user-agent只显示前97个字符,不然的话....................... 但是就这97个字符内,已经可以用js作很多事情了。) 
| |
| 2.Re:cjsdn也有html注入攻击的潜在危险,请看效果图!!! [Re: bluepure] | Copy to clipboard |
|
Posted by: rainman Posted on: 2005-02-20 14:13 改一下模板就好了. | |
| 3.Re:cjsdn也有html注入攻击的潜在危险,请看效果图!!! [Re: bluepure] | Copy to clipboard |
|
Posted by: 阿熊 Posted on: 2005-02-20 14:35 user_online.vm文件 第32行 <br>$!online.UserAgentDetail </span></td> 改成 <br>$util.escapeHtml("$!online.UserAgentDetail") </span></td> | |
| 4.Re:cjsdn也有html注入攻击的潜在危险,请看效果图!!! [Re: zua] | Copy to clipboard |
|
Posted by: bluepure Posted on: 2005-02-20 18:15 看来jute设置的不错,修改起来真方便  可不可以申请加点分啊??? 我脸皮现在变厚了,呵呵。 http://www.cjsdn.net/post/view?bid=11&id=135419&sty=1 | |
| 5.Re:cjsdn也有html注入攻击的潜在危险,请看效果图!!! [Re: bluepure] | Copy to clipboard |
|
Posted by: wsj Posted on: 2005-03-16 22:34 这有什么意义呢?只是对自己的response起作用。 能产生什么对server或其他用户的攻击危险呢? | |
 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |