This topic created in 3306 days ago, the information mentioned may be changed or developed.
评论没做 XSS 过滤!!!
评论没做 XSS 过滤!!!
评论没做 XSS 过滤!!!
进入 http://gallery.echartsjs.com 随便找个作品,点开评论,输入:
<img src="xss!!" onerror="alert('xss!!!')">
你会发现居然解析了!!
图:
Supplement 1 · Apr 21, 2017
貌似已经不解析了,→_→ 毕竟这里是全球最大的工单系统。
 |
1
seancheer Apr 21, 2017
这个太 6 了,完全是一点儿都没做。
|
 |
2
xuzywozz Apr 21, 2017
果真是 2333
|
 |
3
FinnBai Apr 21, 2017
啧啧
|
 |
4
kxind Apr 21, 2017 via iPhone
去测试了波。。果然没做
|
 |
5
aheadlead Apr 21, 2017
|
 |
6
Lihz Apr 21, 2017
评论区已经被占了
|
 |
8
H3x Apr 21, 2017
这明显是没做安全测试就上线了
|
 |
9
momocraft Apr 21, 2017
gj
|
 |
10
LCD Apr 21, 2017 via Android
开门,收快递
|
 |
11
mengzx Apr 21, 2017 via Android
已经没了
|
 |
12
phrack Apr 21, 2017 via Android
百度前端
一堆的 xss |
 |
13
iyaozhen Apr 21, 2017 via Android
这就尴尬了。
|
Select Language