|
特别感谢 .o0迪亚波罗0o. 给出的解决方案! 漏洞危害描述:由于没有对用户输入的数据进行过滤导致网站存在存储型 XSS 漏洞(跨 站脚本攻击),站点对重要的 COOKIE 做了 Httponly 处理,攻击者虽然无法通过该漏洞 获取其他用户的 COOKIE,但是可以通过构造特定的请求来实现用户信息的篡改。 漏洞评级:高危 漏洞分析与验证:选择“组织”在线聊天对话框,任意选择对象
输入内容为: 提交后:
再次点击聊天对象触发存储 XSS 跨站脚本攻击:
修改后运行结果如下: 不喜欢白嫖党,还是来搞一波回复吧 不喜欢白嫖党,还是来搞一波回复吧 不喜欢白嫖党,还是来搞一波回复吧
| 
发表于 2021-12-21 10:19:02
