管理员快来本站有跨站漏洞

春哥信徒 · 发表于 2010-7-17 20:08:57

Vulnerable:
Disczu! <= 7.2
Discuz!所有版本Discription:
Discuz! 个人中心里的“个人签名”没有对恶意代码进行检测，在 Discuz! 及 img 代码禁用的情况下仍可写入恶意代码，Discuz! 会保存并执行该代码，形成永久型跨站。

该漏洞可能导致蠕虫病毒的传播。<*References
liscker@hotmail.com

以上是漏洞信息。。。现在演示。。！

DZ的跨站漏洞。在个性签名上打上
</textarea><script>alert(/Fuck/);</script><textarea>
把这代码复制进去！

拿 www.43dxc.com 这 DZ论坛实验。。
这个就是跨站漏洞。。。大家可以利用这个来挂马。。
秒杀所以DZ论坛。。！！
/Fuck/ 换成你的马的地址。。就行了。。。
好了。。今天的教程到这。。。。谢谢观看。
-------------------------------------------------------------------
如果被拿来挂马的话后果不堪设想。修复漏洞吧

谁动了我的石头 · 发表于 2010-7-17 20:29:36

没看懂

斌哥 · 发表于 2010-7-17 20:32:23

已经通知技术员谢谢

春哥信徒 · 发表于 2010-7-17 20:32:34

就是。。。。可以挂上网马可以偷cookies 可以执行恶意代码特定条件下可以得到WEBshell

审判者 · 发表于 2010-7-17 20:43:27

你高手

清新氧气 · 发表于 2010-7-17 21:18:41

pan3 · 发表于 2010-7-17 21:19:46

mouslin · 发表于 2010-7-17 21:23:41

Stiven · 发表于 2010-7-17 22:00:48

谢谢楼主提醒，我们已经通过修改memcp.php文件对个人签名的字符进行了过滤。

管理员快来 本站有跨站漏洞

管理员快来本站有跨站漏洞