友言社会化评论框存储型XSS漏洞

土豆 · 发表于 2013-12-20 13:41:13

作者:evavus

评论用户昵称没过滤，以官方demo为例。

http://www.uyan.cc/demo

把QQ昵称改成<svg/onload=alert(document.cookie)>

选择QQ登录，发表一条评论。

没过滤

弹窗

获取cookie

貌似有不少站用这个额。

本文转载自:乌云

夜尽天明 · 发表于 2013-12-20 17:39:16

QQ昵称不能改那么长的，反正我的改不了，，会被腾讯截断

mnbbnmj · 发表于 2013-12-21 19:42:56

xss干什么用的啊

zxc979647835 · 发表于 2013-12-23 18:05:22

惊人。牛了

夏殇 · 发表于 2014-1-4 21:36:55

{:soso__12549903500800170257_4:}O(∩_∩)O哈哈~