ThinkSAAS多处Xss及某处SQL注射。
1.用的是xheditor.那编辑器玩意,Xss大家比我知道的多吧,img直接加xss
2.该源码,过滤xss基本上都是输出过滤,所以导致太多没有过滤到位的地方,比如标题会在动态页面弹xss,文章标题直接xss,消息盒子xss,太多太多,不一一枚举,改成输入过滤即可。
3.http://www.thinksaas.cn/home/info/key/contact/ 变量key。
2.该源码,过滤xss基本上都是输出过滤,所以导致太多没有过滤到位的地方,比如标题会在动态页面弹xss,文章标题直接xss,消息盒子xss,太多太多,不一一枚举,改成输入过滤即可。
3.http://www.thinksaas.cn/home/info/key/contact/ 变量key。
评论3次
可以啊
学xixss中
访问不了