更正 SupeSite社区本户XSS漏洞
SupeSite社区本户程序是有discuz开发的今天去**黑客联盟http://www.cnhacker.com 的时候看到使用的是SupeSite网站程序
我就随便注册了一个号 登陆进去后看看这套程序的功能怎么样 没想到注册会员只能发表文章 但是必须要经过管理员审核才可以发表出来 邪恶的想法又出来了~经过测试发现这套程序它忽略了过滤vbscript,因此造成了一个非常严重的跨站漏洞的出现,在文章标题直接写入
<img src="vbscript:msgbox(document.cookie)" />
然后发表就可以 当管理员浏览文章时XSS就会被成功激活 这样就得到了我们想要的东西~~甚至直接拿下该网站!
然后又去测试了一个官网 官网现在使用的是 SupeSite 7.5但是依然存在此漏洞 看来是通杀了~
目前仅测试了vb脚本 其他的还没测试 XSS的利用几个方法很多 不只是获取 大家自己摸索吧 各位大牛千万别笑话小的 顺便说一句 XSS相当强悍 先顶谢谢啊`````多谢分享了.. 不错 值得学习 谢谢啦 这么邪恶- -!
页:
[1]