鸿 网 互 联 www.68idc.cn

V2EX社区储存型XSS

来源:互联网 作者:佚名 时间:2016-05-07 10:05
1.注册个用户,在workplace的地方开启一个新项目。Definition要写XSSCODE img onclick=alert(/xss/),忘记截图了,可以自行尝试。 2. 3.点击图片。 4.看不懂英文,team的地方可以邀请人进来,点击项目里的就能中招。 这里我邀请了另外一个号 ,名字是hehexiaow
1.注册个用户,在workplace的地方开启一个新项目。Definition要写XSSCODE
 
<img onclick=alert(/xss/)>,忘记截图了,可以自行尝试。
 
 
 
2.
 
 
3.点击图片。
 
 
 
4.看不懂英文,team的地方可以邀请人进来,点击项目里的就能中招。
 
这里我邀请了另外一个号 ,名字是hehexiaowai。
 
5.我用hehexiaowai这个号登陆。
6.看到被邀请的信息。
 
7.点击接受后,很明显,我进入了这个项目。
 
 
8.点击Definition。注意当前用户。
 
9.效果。
 

如果我在Definition处写入恶意代码,可以攻击任何人,只要知道他的名字。 

 
修复方案:

过滤或转义。
 
网友评论
<