这是一个创建于 2758 天前的主题,其中的信息可能已经有所发展或是发生改变。
评论没做 XSS 过滤!!!
评论没做 XSS 过滤!!!
评论没做 XSS 过滤!!!
进入 http://gallery.echartsjs.com 随便找个作品,点开评论,输入:
<img src="xss!!" onerror="alert('xss!!!')">
你会发现居然解析了!!
图:
第 1 条附言 · 2017-04-21 17:24:57 +08:00
貌似已经不解析了,→_→ 毕竟这里是全球最大的工单系统。
 |
1
seancheer 2017-04-21 16:41:04 +08:00
这个太 6 了,完全是一点儿都没做。
|
 |
2
xuzywozz 2017-04-21 16:47:09 +08:00
果真是 2333
|
 |
3
baiyi 2017-04-21 16:52:46 +08:00
啧啧
|
 |
4
kxind 2017-04-21 16:54:41 +08:00 via iPhone
去测试了波。。果然没做
|
 |
5
aheadlead 2017-04-21 17:10:52 +08:00
|
 |
6
Lihz 2017-04-21 17:22:12 +08:00
评论区已经被占了
|
 |
8
H3x 2017-04-21 17:39:41 +08:00
这明显是没做安全测试就上线了
|
 |
9
momocraft 2017-04-21 17:41:20 +08:00
gj
|
 |
10
LCD 2017-04-21 17:48:17 +08:00 via Android
开门,收快递
|
 |
11
mengzx 2017-04-21 18:00:49 +08:00 via Android
已经没了
|
 |
12
phrack 2017-04-21 21:16:02 +08:00 via Android
百度前端
一堆的 xss |
 |
13
iyaozhen 2017-04-21 21:48:27 +08:00 via Android
这就尴尬了。
|
Select Language