腾讯论坛漏洞,快进来围观。 http://sobar.soso.com/t/88488251?from=CSDN&url=Amysql.com&thisis=创新&BY=CSDN.net 蛋疼的腾讯过滤明显有问题,如果想……,你懂得拉。 上面那网址各位可以改后面的参数值玩玩,…… 最后我写的MySql管理系统AMS 会在5月1发布哈, 希望各位多多支持,有什么新消息首发这里哈。 http://amysql.com------解决方案-------------------- 呵呵 连iframe都没过滤掉 检测参数生成js,lz把tx.php发出来给大伙瞧瞧吧------解决方案-------------------- 哇哈哈,的确太弱了------解决方案-------------------- 很无语!
<script><br />var thisis = "\u521b\u65b0";<br />var from = "CSDN";<br />var BY = "CSDN.net";<br /><br />alert("尊敬的" + from + "用户您好。\n\n我是马总,\n在这里我代表我公司--国内唯一跑在" + thisis + "前沿的腾讯科技对" + from + "广大用户表示最诚恳的问候。\n\n对于近段三石哥强烈谴责我、说我抄袭他的手机客户端APP, 我表示相当的无语啊,这都叫抄袭,这不是坑爹么。\n\n在这里我得声明一句,这不是抄袭……\n");<br />alert('这是叫:大量' + thisis + '!' + "\n\nBY:" + BY);<br />parent.location='http://amysql.com';<br /></script>
------解决方案-------------------- 我不认为这是漏洞
如果是在页面中执行了用户写入的 js 代码,那可以说是漏洞
如果用户写入的 html 代码造成了页面显示不正常,那也可以说是漏洞
执行了用户的插入式框架,不能说是漏洞。用于 js 不能跨域,所以框架中的代码不会对页面产生威胁。相反可以使页面增色不少
更何况,效果是在客户端产生的,并不对服务端构成威胁
------解决方案--------------------
探讨
浏览后页面直接跳到楼主的老窝去了,已经属于挂马行为. 引用: 我不认为这是漏洞 如果是在页面中执行了用户写入的 js 代码,那可以说是漏洞 如果用户写入的 html 代码造成了页面显示不正常,那也可以说是漏洞 执行了用户的插入式框架,不能说是漏洞。用于 js 不能跨域,所以框架中的代码不会对页面产生威胁。相反可以使页面增色不少 更何况,效果是在客户端……
------解决方案--------------------
探讨
#13 你是不是有这么干过 =_=.. 。 上面那样的,正常在列表点击没参数情况是不执行代码的,影响也不大的。 #15 但TX那个不进行过滤很明显是不好的了。 iframe是很好的,ajax、iframe、请求发送数据我都会考虑是否用iframe的,有时用iframe省很多事情。 且能做ajax不能做的事情。。
------解决方案-------------------- #24 不会吧
探讨
各种漏洞、入侵、BUG。。 isno是什么表示很不懂。。 引用: 引用: #13 你是不是有这么干过 =_=.. 。 上面那样的,正常在列表点击没参数情况是不执行代码的,影响也不大的。 #15 但TX那个不进行过滤很明显是不好的了。 iframe是很好的,ajax、iframe、请求发送数据我都会考虑是否用ifram……
------解决方案-------------------- 跨站脚本。。。。。。。。。。。
------解决方案-------------------- 不是XSS吗,页面能运行你自定义的js代码,那你很有机会偷取浏览你这个页面的用户的cookie信息。
------解决方案--------------------
探讨
#26 ok啊,乍子合作?
------解决方案-------------------- 说到最后是可以用来引流量
------解决方案-------------------- 大湿怎就不和谐了,说着说着就跑了,还想听你讲解呢
------解决方案-------------------- 你是怎么测试出来tx的bug的啊
------解决方案--------------------
Déclaration: Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn