1.留言人处没有做过滤, 2.留言处采用的过滤方式过于粗放
http://bbs.vip.sina.com.cn/comment.php?uid=aibaqiu 留言人处在服务端限制了字符个数,输入<script>alert(/xss/);</script>,返回结果<script>alert(/xss/) 所以采用多次留言的方式来绕过 分别为 1.*/</script> 2.*/alert(/xss/);/* 3.<script>/* www.2cto.com 使用/**/来注释掉两个留言人中间的 html 代码,便可绕过 修复方案: 过滤 作者 善心
查看更多关于新浪vip邮箱留言板存储型跨站 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11806