個人選項是更新了!
不過帖子下的沒有改變。
[ 本帖最后由 getghost 于 2007-7-5 17:54 编辑 ] 为什么网站也会出现问题,时时的会上不了。MagicLinux官方网站是不是目前只可以由开发人员上,而其它人员都不可以再上了呢? 建议能让我进到管理板块发帖子。
现在近不去发到这里了。
下面说下存在的问题
1、点技术文章
2、在下面的那个搜索栏中输入'><img src="javascript:alert('xss')" width=100> 看看
3、javascript居然执行了。
4、如何利用?可以设置跳转到别的网址(比如含有木马的)或者偷管理员的COOKIE,在这里代码就不写了。 搜索栏?那里出现的东西似乎不能保存到数据库里吧?
而且 java 只能在客户端运行,在服务器上不能运行。
不过我怀疑那个页面可能存在 sql 注入漏洞。 :x 新帖提示:x 新帖提示:x 新帖提示:x 新帖提示:x 新帖提示:x 新帖提示:x 新帖提示 原帖由 jiangtao9999 于 2007-7-6 18:41 发表 http://www.linuxfans.org/bbs/images/common/back.gif
搜索栏?那里出现的东西似乎不能保存到数据库里吧?
而且 java 只能在客户端运行,在服务器上不能运行。
不过我怀疑那个页面可能存在 sql 注入漏洞。
写到数据库是不能的,但是我可以用这个地方让浏览页面的人跳到别的页面(含有木马的页面),活着偷去访问者的COOKIE 等等很多了。都可以做的。
我在测试下,然后报告。
[ 本帖最后由 CPUCN 于 2007-7-8 06:59 编辑 ] 原帖由 CPUCN 于 2007-7-8 06:49 AM 发表 http://www.linuxfans.org/bbs/images/common/back.gif
写到数据库是不能的,但是我可以用这个地方让浏览页面的人跳到别的页面(含有木马的页面),活着偷去访问者的COOKIE 等等很多了。都可以做的。
我在测试下,然后报告。
不能写入数据库,那就是说不能借助服务器在别人的机器上打开你的 js 脚本。
那就是说,你只能黑了你自己……………… 我在研究下,呵呵。:-D
[ 本帖最后由 CPUCN 于 2007-7-8 13:03 编辑 ] 看不到本版在线人员名单
这样,我就得随时提防seamonkey揭我的小马甲
还有,我也要像hew一样有“超级版主,还是流氓”的下标:twisted: 世道变了,太阳从西边出来了 我注册时用了好几天才注册成功,因为第三次注册才收到账号激活邮件
我提几个小意见
1.关于注册,之前为在注册时,很是郁闷,为什么注册之后再点击发送邮件就出错,这样倒也罢了,为什么一个邮箱只能够为一个用户使用,害得我拼命去注册其他邮箱来注册...建议,要么把邮箱的限制给解除,要么定期清理那些注册不成功的用户名2.关于登录问题,我现在使用的是firefox2.0.0.6linux版本,以前在登录时是选择了保存用户名密码的,在访问论坛时,显示我是游客,但是为想去登录时,却发现为已经登录,然后再回到论坛还是游客一个,这是何解?没办法,只好回到登录界面,登出,再登录,才显示为注册用户....