龍影 （KIK網(wǎng)絡(luò)聯(lián)盟） 轉(zhuǎn)載請(qǐng)注明出自紅黑聯(lián)盟（www.7747.net）

    007博客網(wǎng)再次暴出XSS漏洞 本以為上一個(gè)XSS漏洞 已經(jīng)修補(bǔ)

    誰知道上個(gè)漏洞仍然存在 這時(shí)才明白管理員不會(huì)修補(bǔ)漏洞 只是

    把修改模板的權(quán)限修改了以下 這個(gè)并不能解決問題 只要天天登陸博客

    注冊(cè)用戶就會(huì)升級(jí)到所允許修改模板的等級(jí) 希望官方盡快想辦法解決這個(gè)漏洞

    我們來看這次的兩個(gè)XSS漏洞

    1.漏洞成因：管理員忽略了過濾vbscript，因此造成了一個(gè)非常嚴(yán)重的跨站漏洞的出現(xiàn)

    示例：

   

    ---------------------------------------------------------------------------------------------------------------------------------------------

    2.漏洞成因：我們知道對(duì)于backgroud樣式屬性是需要嵌套u(yù)rl才能引用XSS代碼的，如果直接把代碼寫進(jìn)backgroud是不能運(yùn)行的，因?yàn)槿鄙倭艘粋�(gè)觸發(fā)機(jī)制，

007博客網(wǎng)再暴XSS漏洞

，

電腦資料

《007博客網(wǎng)再暴XSS漏洞》(http://www.ishadingyu.com)。而table標(biāo)簽會(huì)自動(dòng)加載內(nèi)部?jī)?nèi)容——相當(dāng)與eval。（如果你上一個(gè)比較慢的空間，并且整個(gè)空間只有一個(gè)table，那么你會(huì)發(fā)現(xiàn)直到整個(gè)table數(shù)據(jù)全部下載到本地才能顯示網(wǎng)頁(yè)內(nèi)容，原因即是如此）

    示例：

   

   

    %22" >sth or noting