yzmcms3.7 xss漏洞

  • 内容
  • 相关
\application\advertisement\controller\adver.class.php

广告管理编辑功能的特定代码行55-70

2.png

一组参数是通过使用POST方法,此方法返回的[‘title’]没有任何过滤直接。返回参数为post_ [ 'code ]

3.png

\application\advertisement\view\adver_edit.html 
不过滤任何数据和输出直接到页面

5.png

后台管理界面中找到这个功能

6.png

拦截数据包并更改标题

 "><img src=ss onerror=alert(/xss1/)>
7.png

回到广告管理界面,刷新

8.png

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:yzmcms3.7 xss漏洞 - https://www.0dayhack.com/post-808.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注