信箱收发信息没有任何过滤,存在XSS/CSRF 漏洞
漏洞证明:
XSS的
"><script>alert(document.cookie)<script>
CSRF的同理
修复方案:
对特殊字符做编码,必要时做严格的过滤。这个站肯定还有很多其他的漏洞,希望你们能做个全面的测试,我就是你们的注册用户呢
查看更多关于大街网存在XSS / CSRF漏洞及修复方案 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11287