【摘要】官网page:http://www.jsxyIDC.com/YCMS留言板是以php+MySQL进行开发的php留言板源码,软件为普通的留言板可广泛应用于企业网站等需要留言板的网站中进行使用。下载地址:http://down.chinaz.com/soft/37797.htm1.存储性X...
官网page:http://www.jsxyidc.com/YCMS留言板是以php+MySQL进行开发的php留言板源码,软件为普通的留言板可广泛应用于企业网站等需要留言板的网站中进行使用。下载地址:http://down.chinaz.com/soft/37797.htm
1.存储性XSS漏洞
说明:由于对于用户的输入没有过滤导致JS代码运行标题、内容、用户(姓名)以及IP
2.验证:
A.用户留言:
B.管理员审核:
执行三次alert();
C.审核通过后,即可展示在前台:
http://www.test.com:81/index.php
D.GetIp()函数直接返回
3.总结
在获取IP的时候管理员登陆会写入数据库,貌似可以SQL注入~
当然XSS也是存在的完全没过滤~
温馨提示:
1.本站大部分内容均收集于网络!若内容若侵犯到您的权益,请发送邮件至:duhaomu@163.com,我们将第一时间处理!
2.资源所需价格并非资源售卖价格,是收集、整理、编辑详情以及本站运营的适当补贴,并且本站不提供任何免费技术支持。
3.所有资源仅限于参考和学习,版权归原作者所有,更多请阅读网站声明。
1.本站大部分内容均收集于网络!若内容若侵犯到您的权益,请发送邮件至:duhaomu@163.com,我们将第一时间处理!
2.资源所需价格并非资源售卖价格,是收集、整理、编辑详情以及本站运营的适当补贴,并且本站不提供任何免费技术支持。
3.所有资源仅限于参考和学习,版权归原作者所有,更多请阅读网站声明。
