借爱奇艺某功能挖出网站多处存储型XSS([打]遍天下无敌手)
STEP1.我们在一个具体的视频页面发起一个投票,标题是XSS代码,具体选项也是XSS代码,点击提交
STEP2.查看我们的投票
STEP3.我们发现XSS代码没有过滤,可爱的文本输入框框出来了~我们点一下,呵呵弹出窗口了吧
我们来看看利用投票功能里的XSS代码,我们在哪些地方构造了存储型XSS
1.在具体的视频页面的评论处
2.在个人中心的动态处同样没有过滤(可以导致各种好友中招)
修复方案: 过滤XSS代码(过滤的一点都不彻底啊,不给力啊!少年)
查看更多关于爱奇艺某功能挖出网站多处存储型XSS - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14741