百度BAE任意打 基本只要有站点有注册功能就行
求奖品
百度BAE任意打 基本只要有站点有注册功能就行
我昨天搭建了个网站 创建了个叫
<iframe src="javascript:alert('XSS')"></iframe>的用户名
今天无聊看到了 mysql 慢查询日志
刚打开就弹出xss
然后我果断再创建了个叫[xsscode]
的帐号
果断打到
挺严重的...
修复方案: 转义
查看更多关于百度BAE设计不当导致持久型XSS可影响任意帐号的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14732