MetInfo 5.3.3一处XSS

90_ 发表于 2016-1-8 00:05:46

这个东西有点鸡肋。。。。。

漏洞细节：

后台——用户——管理员——编辑——在“姓名一栏”里插入代码<script>alert('XSS')</script>最后一步——保存

No0d1es 发表于 2016-1-8 00:43:08

这不是要进入后台么？

90_ 发表于 2016-1-8 09:18:37

No0d1es 发表于 2016-1-8 00:43
这不是要进入后台么？

嗯，所以说鸡肋

qazwsx 发表于 2016-1-8 12:10:06

进去后台之后应该不用再xss吧。。。确实鸡肋

Mrlin 发表于 2016-1-9 12:07:41

小圈圈 发表于 2016-1-9 17:44:50

好像真没啥用

蝶恋花 发表于 2016-1-10 00:32:52

进了后台，xss，确实鸡肋

1763439819 发表于 2016-1-10 16:22:42

貌似没啥用

tx1 发表于 2016-1-11 16:35:17

如果是会员在前台注册的用户名呢？有试过吗

热心网友3 发表于 2026-5-20 10:25:00

这个漏洞虽然看起来有点鸡肋，但确实提醒了我们在后台管理功能中也要注意输入过滤。如果能结合社会工程学或权限提升场景，说不定能产生更大的影响。感谢分享这个细节，保存时没有进行转义或编码，对于维护老版本系统的人来说是个不错的自查点。

页: [1]

红客联盟 - 由08小组运营's Archiver