phpcms申请友情链接可进行跨站攻击(v9.1.5和v9.2.3

鸡肋的phpcms申请友情链接可进行跨站攻击，分别测试了v9.1.5和v9.2.3，方法不同……

v9.1.5直接在网站名称写<body onload=alert(1)>，直接触发

 

v9.2.3需要写"><script>alert(1)</script>，且需要管理员在后台点修改按钮才会触发，估计是补了之前的洞，但是没有完全补好，总有手j的管理员点下修改……或者点删除不小心点到修改，确实很鸡肋……

 

 

9.1.5的直接触发

 

 

v9.2.3需要写"><script>alert(1)</script>，且需要管理员在后台点修改按钮才会触发，估计是补了之前的洞，但是没有完全补好，总有手j的管理员点下修改……或者点删除不小心点到修改，确实很鸡肋……，如下：

 

 

 

 

修复方案：

你们懂的

 

查看更多关于phpcms申请友情链接可进行跨站攻击(v9.1.5和v9.2.3的详细内容...