龍影
在这套程序的 留言本处存在XSS跨站漏洞 非常严重的
利用此漏洞可以很简单的拿下网站 甚至让管理员成为你的肉鸡
测试代码如下:
点在线留言 在标题处 输入:
< http-equiv="refresh" content="0; url=http://www.baidu.com" />
这个代码就是网页跳转的 当管理员在后台点留言管理的时候 会自动弹出 百度的网站
当然你也可以输入别的代码 比如截取 的
XSS可以做很多事情 不只是截取 这么简单 怎么利用完全看个人的了
此漏洞 通杀 凡诺企业网站管理系统所有版本 包括商业版
如对本文有疑问, 点击进行留言回复!!
麦咖啡 (mcafee) VSE 8.5 防止Serv-U提权
mcafee 打造安全的windows服务器 安全设置图文说明
利用麦咖啡(McAfee)对服务器Web站点进行有效安全设置与管理
网友评论