凡诺企业网站管理系统XSS漏洞

韩小末

不说废话直接搞

在这套程序的 留言本处存在XSS跨站漏洞 非常严重的

利用此漏洞可以很简单的拿下网站 甚至让管理员成为你的肉鸡

测试代码如下：

点在线留言 在标题处 输入：

  <script>window.open( "http://www.baidu.com" )</script>
这个代码就是网页跳转的 当管理员在后台点留言管理的时候 会自动弹出 百度的网站

当然你也可以输入别的代码 比如截取 cookie 的

XSS可以做很多事情 不只是截取 cookie 这么简单 怎么利用完全看个人的了

此漏洞 通杀 凡诺企业网站管理系统所有版本 包括商业版