搜狐博客/博客大巴 日志模块XSS漏洞(2009.1.10.漏洞首发)

admin 2021年4月3日19:39:51评论32 views字数 502阅读1分40秒阅读模式

    比较老的文章了(2009-01-10 02:09),但是有些技巧还是值得再研究的,所以就转来了,有心学习的人还可以再看看。

漏洞描述:

     搜狐博客博客大巴这两个社区的博客系统,日志模块都采用富文本提交方式。可以直接授权用户编辑HTML代码。但这两套博客系统均没有过滤,

触发方式:

     用IE浏览器打开日志页面的用户会有受到攻击的危险。

补充说明:

    “if IE” 系列代码为IE中的条件注释。
    1. 除IE外都可识别
    2.
    3.
    4.
    5.
    6.
    7.
    8.
    9.
    10.
    11.

    lte,lt,gte,gt各自的详细解释如下:
    lte:就是Less than or equal to的简写,也就是小于或等于的意思。
    lt :就是Less than的简写,也就是小于的意思。
    gte:就是Greater than or equal to的简写,也就是大于或等于的意思。
    gt :就是Greater than的简写,也就是大于的意思。
    ! :就是不等于的意思。

附图:

文章来源于lcx.cc:搜狐博客/博客大巴 日志模块XSS漏洞(2009.1.10.漏洞首发)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:39:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   搜狐博客/博客大巴 日志模块XSS漏洞(2009.1.10.漏洞首发)https://cn-sec.com/archives/324260.html

发表评论

匿名网友 填写信息