Heim >Backend-Entwicklung >PHP-Tutorial >腾讯论坛漏洞,快进来围观。该怎么处理

腾讯论坛漏洞,快进来围观。该怎么处理

WBOY
WBOYOriginal
2016-06-13 10:18:08970Durchsuche

腾讯论坛漏洞,快进来围观。
http://sobar.soso.com/t/88488251?from=CSDN&url=Amysql.com&thisis=创新&BY=CSDN.net

蛋疼的腾讯过滤明显有问题,如果想……,你懂得拉。

上面那网址各位可以改后面的参数值玩玩,……

最后我写的MySql管理系统AMS 会在5月1发布哈,
希望各位多多支持,有什么新消息首发这里哈。


http://amysql.com

------解决方案--------------------
呵呵 连iframe都没过滤掉
检测参数生成js,lz把tx.php发出来给大伙瞧瞧吧
------解决方案--------------------
哇哈哈,的确太弱了
------解决方案--------------------
很无语!









<script><br />var thisis = "\u521b\u65b0";<br />var from = "CSDN";<br />var BY = "CSDN.net";<br /><br />alert("尊敬的" + from + "用户您好。\n\n我是马总,\n在这里我代表我公司--国内唯一跑在" + thisis + "前沿的腾讯科技对" + from + "广大用户表示最诚恳的问候。\n\n对于近段三石哥强烈谴责我、说我抄袭他的手机客户端APP, 我表示相当的无语啊,这都叫抄袭,这不是坑爹么。\n\n在这里我得声明一句,这不是抄袭……\n");<br />alert('这是叫:大量' + thisis + '!' + "\n\nBY:" + BY);<br />parent.location='http://amysql.com';<br /></script>







------解决方案--------------------
我不认为这是漏洞

如果是在页面中执行了用户写入的 js 代码,那可以说是漏洞
如果用户写入的 html 代码造成了页面显示不正常,那也可以说是漏洞
执行了用户的插入式框架,不能说是漏洞。用于 js 不能跨域,所以框架中的代码不会对页面产生威胁。相反可以使页面增色不少

更何况,效果是在客户端产生的,并不对服务端构成威胁
------解决方案--------------------
探讨

浏览后页面直接跳到楼主的老窝去了,已经属于挂马行为.

引用:

我不认为这是漏洞

如果是在页面中执行了用户写入的 js 代码,那可以说是漏洞
如果用户写入的 html 代码造成了页面显示不正常,那也可以说是漏洞
执行了用户的插入式框架,不能说是漏洞。用于 js 不能跨域,所以框架中的代码不会对页面产生威胁。相反可以使页面增色不少

更何况,效果是在客户端……

------解决方案--------------------
探讨

#13
你是不是有这么干过 =_=.. 。
上面那样的,正常在列表点击没参数情况是不执行代码的,影响也不大的。


#15
但TX那个不进行过滤很明显是不好的了。
iframe是很好的,ajax、iframe、请求发送数据我都会考虑是否用iframe的,有时用iframe省很多事情。
且能做ajax不能做的事情。。

------解决方案--------------------
#24 不会吧
探讨
各种漏洞、入侵、BUG。。

isno是什么表示很不懂。。


引用:

引用:

#13
你是不是有这么干过 =_=.. 。
上面那样的,正常在列表点击没参数情况是不执行代码的,影响也不大的。


#15
但TX那个不进行过滤很明显是不好的了。
iframe是很好的,ajax、iframe、请求发送数据我都会考虑是否用ifram……

------解决方案--------------------
跨站脚本。。。。。。。。。。。
------解决方案--------------------
不是XSS吗,页面能运行你自定义的js代码,那你很有机会偷取浏览你这个页面的用户的cookie信息。
------解决方案--------------------
探讨

#26

ok啊,乍子合作?

------解决方案--------------------
说到最后是可以用来引流量
------解决方案--------------------
大湿怎就不和谐了,说着说着就跑了,还想听你讲解呢 

------解决方案--------------------
你是怎么测试出来tx的bug的啊
------解决方案--------------------
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn