重大BUG：点击日志标题竟然跳转到外部恶意网站！管理员重视！

wen52quan · 发表于 2009-1-9 15:11:36

本帖最后由茄子于 2009-1-12 09:36 编辑

上午用手机上了一下我的UCHOME，发现有人发表的日志内容不健康，当下就删除了两条，
还有一条因为不是敏感的字符就没有删除，但是很明显是垃圾帖。
刚刚在电脑上打开网站检查，点击日志的标题，不是转向日志页面，而是直接跳转到一个外部色情网站。
具体是什么BUG我不太懂，但是感觉问题很严重，希望引起管理员重视！
演示地址
http://chinazhanyou.cn/space-139.html
标题为“当将军啦@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@”的日志就是我说的有问题的日志！

wen52quan · 发表于 2009-1-9 16:38:08

没人管的呢？

wen52quan · 发表于 2009-1-9 19:05:18

如果大面积爆发的话将会是很严重的漏洞！
希望官方重视！

wen52quan · 发表于 2009-1-10 11:07:40

真不知道你们整天在忙什么！

wen52quan · 发表于 2009-1-11 23:16:12

居然还是双休!

茄子 · 发表于 2009-1-12 09:35:51

用户组---日志全HTML标签支持是否谨慎允许，支持所有html标签可能会造成javascript脚本引起的不安全因素

非信任用户组不要开启这个权限

wen52quan · 发表于 2009-1-12 10:55:42

好的，谢谢！

wen52quan · 发表于 2009-1-12 11:01:58

但是我看了一下，并没有开启呀！

茄子 · 发表于 2009-1-12 12:55:31

但是我看了一下，并没有开启呀！
wen52quan 发表于 2009-1-12 11:01

这个用户所在用户组没有开启？
不应该吧
截图我看看

		自动登录	找回密码
密码			立即注册

[不是BUG] 重大BUG：点击日志标题竟然跳转到外部恶意网站！管理员重视！