ThinkSNS某应用跨站脚本攻击 - 网站安全 - 自学ph

ThinkSNS某应用跨站脚本攻击，危害各种自愿上钩的用户

ThinkSNS发表日志可进行跨站脚本攻击，愿意看的都会中招

http://t.thinksns测试数据上进行测试

 

1.我们先随意插入一张网络图片

 

 

 

2.抓包，修改如下

 

 

 

3.发现document和cookie被滤掉了，但是测试location，果断成功

 

 

 

4.那就好办了，我们可以构造形如下面的链接（友情提示：这只是其中一种最直接的方式，不要滤了这种又不管其他了）

 

 

抓包修改

 

 

 

5.看下页面 源码 与效果

是的，插进去了，也跳转了

 

 

 

 

 

 

6.能干什么？看你怎么写脚本了~~~

所谓愿者上钩，就是想看这篇日志的都会上钩！！

 

… 

修复方案： 你比我懂！！ 

 

查看更多关于ThinkSNS某应用跨站脚本攻击 - 网站安全 - 自学ph的详细内容...