首页 » 漏洞 » 京东金融某处存储型XSS跨站

京东金融某处存储型XSS跨站

 

原来的见这个 :http://wooyun.org/bugs/wooyun-2015-0107474

问题还是出在回复评论的地方。

经测试 后台过滤了script iframe onload onerror等事件和标签.(只试了这几个 >_< )

onclick 没处理 ,攻击代码就一句话

<input type=button onclick=alert(1) value="点击有奖!"/>

漏洞证明:

这是被攻击页面:

http://club.jr.jd.com/topic/78215

京东金融某处存储型XSS跨站

修复方案:

自己过滤去吧

原文链接:京东金融某处存储型XSS跨站,转载请注明来源!

0