Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[不是BUG] 转载关于ss程序漏洞的文章....

[复制链接]
mlgb111 发表于 2009-12-9 14:43:38 | 显示全部楼层 |阅读模式
去xxxx 的时候看到使用的是SupeSite网站程序

我就随便注册了一个号 登陆进去后看看这套程序的功能怎么样 没想到注册会员只能发表文章 但是必须要经过管理员审核才可以发表出来 邪恶的想法又出来了~经过测试发现这套程序它忽略了过滤vbscript,因此造成了一个非常严重的跨站漏洞的出现,在文章标题直接写入

<img src="vbscript:msgbox(document.cookie)" />

然后发表就可以 当管理员浏览文章时XSS就会被成功激活 这样就得到了我们想要的东西~~甚至直接拿下该网站!

然后又去测试了一个官网 官网现在使用的是 SupeSite 7.5  但是依然存在此漏洞 看来是通杀了~

目前仅测试了vb脚本 其他的还没测试 XSS的利用几个方法很多 不只是获取 大家自己摸索吧 各位大牛千万别笑话小的 顺便说一句 XSS相当强悍



从别的站看到的~不知道修复了没有。。。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-15 12:27 , Processed in 0.021160 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表