好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

百度BAE设计不当导致持久型XSS可影响任意帐号

百度BAE任意打 基本只要有站点有注册功能就行

求奖品

百度BAE任意打 基本只要有站点有注册功能就行

 

我昨天搭建了个网站 创建了个叫

<iframe src="javascript:alert('XSS')"></iframe>的用户名

 

今天无聊看到了 mysql 慢查询日志

 

刚打开就弹出xss

 

然后我果断再创建了个叫[xsscode]

 

的帐号

 

果断打到

 

挺严重的... 

   

修复方案: 转义 

 

查看更多关于百度BAE设计不当导致持久型XSS可影响任意帐号的详细内容...

  阅读:54次