通达OA:存储型 XSS 跨站请求攻击(高危)解决方案
特别感谢 .o0迪亚波罗0o. 给出的解决方案!
漏洞危害描述:由于没有对用户输入的数据进行过滤导致网站存在存储型 XSS 漏洞(跨 站脚本攻击),站点对重要的 COOKIE 做了 Httponly 处理,攻击者虽然无法通过该漏洞 获取其他用户的 COOKIE,但是可以通过构造特定的请求来实现用户信息的篡改。
漏洞评级:高危
漏洞分析与验证:选择“组织”在线聊天对话框,任意选择对象

输入内容为:

提交后:

再次点击聊天对象触发存储 XSS 跨站脚本攻击:

修改后运行结果如下:

不喜欢白嫖党,还是来搞一波评论嘛
不喜欢白嫖党,还是来搞一波评论嘛
不喜欢白嫖党,还是来搞一波评论嘛
本文隐藏内容 登陆 后才可以浏览
本文未经允许不能转载,如需转载请注明出处 https://www.scit028.com/post-464.html
下一篇: XCopy复制命令及参数详解
chengguo
2021年12月21日 上午11:10
我给你一个评论呗
daninaoke
2021年12月21日 下午12:45
专业
pctingyu
2021年12月21日 下午3:37
评论一下呗
oa123
2021年12月24日 上午9:17
看看如何