凡诺企业网站管理系统XSS漏洞
不说废话直接搞在这套程序的 留言本处存在XSS跨站漏洞 非常严重的
利用此漏洞可以很简单的拿下网站 甚至让管理员成为你的肉鸡
测试代码如下:
点在线留言 在标题处 输入:
<script>window.open( "http://www.baidu.com" )</script>
这个代码就是网页跳转的 当管理员在后台点留言管理的时候 会自动弹出 百度的网站
当然你也可以输入别的代码 比如截取 cookie 的
XSS可以做很多事情 不只是截取 cookie 这么简单 怎么利用完全看个人的了
此漏洞 通杀 凡诺企业网站管理系统所有版本 包括商业版
页:
[1]