简要描述:表单页面对提交数据未做数据约束,导致页面存在一处存储型跨站 漏洞 一个。
该漏洞容易导致其他用户的cookies信息被窃取,以及挂马。
详细说明:编辑个人资料页面,对提交数据未做数据约束,昵称文本框,手动先修改绕过最大输入字符数:
提交。
t"><script>alert(/xss2/)</script><a
漏洞证明:
修复方案:服务端对提交数据做数据约束,做白名单,禁用,\'"<>/ 等字符。
作者 路人甲
查看更多关于一号店存储型XSS - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did12736