这里选择用KesionCMS官方体验地址http://demo.kesion.com/
该存储型xss 漏洞 存在于发送消息处
这里我们用bitcoin100向另外一个用户bitcoin发送消息,
发送消息时,在内容中插入xss代码
"><img src="#" onerror=alert(document.cookie)>
目标用户bitcoin查看消息即可成功触发
修复方案:
过滤
查看更多关于KesionCMS存储型xss漏洞可打任意用户 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15487