文档章节

青果教务管理系统存储型XSS 一枚

___Null
 ___Null
发布于 2014/06/18 21:20
字数 263
阅读 1627
收藏 2
  1. 背景

    期末(被逼)评教时发现校网xss一枚,反正给学校反映了也没人管,

  2. 效果


    直接爆菊,至于怎么利用。。。。啊哈哈哈  对吧 大家都懂的。

  3. 分析

    教学评价用了一个文本域,后台对提交的数据做了一个简单的过滤,反正提交类似<script>之类的标签会提示非法字符,最后我用比较脑残的方法,在里面输入</textarea>闭合标签。然后就ok了

     </textarea><img onerror="javascript:alert(document.cookie)" src="111"><textarea>

             评论框输入上面的代码就可以触发了,但是后面会多出来一个文本域和图片,应该用css可以隐藏起来。

  4. 修复

    1、严格过滤用户输入,特殊符号进行转义处理, 2、给cookie加上httponly属性也能在一定程度上防止xss危害。 另外教务系统相对封闭应该不会造成太大的安全威胁。

© 著作权归作者所有

共有 人打赏支持
___Null
粉丝 16
博文 16
码字总数 7322
作品 0
珠海
程序员
如何通过入侵老师邮箱拿到期末考卷和修改成绩

先声明=。=,这个漏洞是无意中发现的,我只是验证了它可行了,但是最后是没有干坏事的,否则被发现会被退学的=。= 另外就是目测很多高校的邮箱系统都有这样的漏洞(因为感觉以前的邮箱系统都...

WhyLiam
2012/12/27
0
3
UFT入门教程(5)—自定义检查点及模块化

综合练习二 知识点 自定义检查点 模块化脚本(将action分为多个sub,再将函数添加到函数库,然后关联函数库) 要求 测试工具:UFT 被测网站:西科大教务处 内容:覆盖知识点,测试教务处登录...

iBazinga
2016/09/18
21
0
快速找出网站中可能存在的XSS漏洞实践(一)

一、背景 笔者最近在慕课录制了一套XSS跨站漏洞 加强Web安全视频教程,课程当中有讲到XSS的挖掘方式,所以在录制课程之前需要做大量实践案例,最近视频已经录制完成,准备将这些XSS漏洞的挖掘...

汤青松
08/22
0
0
xss攻击的初步了解

什么是XSS攻击 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意HTML代码和客户端脚本,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而...

凡尘里的一根葱
2015/12/02
61
0
【Sql Server】3.管理数据库

一、数据库组成 表、视图(对多个表中的数据进行组合)、存储过程、触发器、用户与角色(在‘数据库xx/安全性’下)、其他数据库部分 二、使用管理工具创建数据库 1. 运行Microsoft SQL Ser...

Jannie_xx
2014/05/23
0
0

没有更多内容

加载失败,请刷新页面

加载更多

【大福利】极客时间专栏返现二维码大汇总

我已经购买了如下专栏,大家通过我的二维码你可以获得一定额度的返现! 然后,再给大家来个福利,只要你通过我的二维码购买,并且关注了【飞鱼说编程】公众号,可以加我微信或者私聊我,我再...

飞鱼说编程
56分钟前
1
0
Spring5对比Spring3.2源码之容器的基本实现

最近看了《Spring源码深度解析》,该书是基于Spring3.2版本的,其中关于第二章容器的基本实现部分,目前spring5的实现方式已有较大改变。 Spring3.2的实现: public void testSimpleLoad(){...

Ilike_Java
今天
1
0
【王阳明心学语录】-001

1.“破山中贼易,破心中贼难。” 2.“夫万事万物之理不外于吾心。” 3.“心即理也。”“心外无理,心外无物,心外无事。” 4.“人心之得其正者即道心;道心之失其正者即人心。” 5.“无...

卯金刀GG
今天
2
0
OSChina 周三乱弹 —— 我们无法成为野兽

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @ _刚刚好: 霸王洗发水这波很骚 手机党少年们想听歌,请使劲儿戳(这里) hahahahahahh @嘻酱:居然忘了喝水。 让你喝可乐的话, 你准忘不了...

小小编辑
今天
9
0
vm GC 日志 配置及查看

-XX:+PrintGCDetails 打印 gc 日志 -XX:+PrintTenuringDistribution 监控晋升分布 -XX:+PrintGCTimeStamps 包含时间戳 -XX:+printGCDateStamps 包含时间 -Xloggc:<filename> 可以将数据保存为......

Canaan_
昨天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部