PhpMyWind储存型XSS漏洞练习(CVE-2017-12984)
2024-10-20 11:37:53
0x01 介绍
又是一款开源CMS内容管理系统PhpMyWind,在小于等于5.4版本中存在储存型XSS漏洞。如下图所示,这个就是发生储存型XSS漏洞的代码
0x02 演示
1.第一张图是客户留言时,对留言的内容进行htmlspecialchars函数过滤。第二张图是管理员在修改留言信息时并未对显示的内容进行过滤,所以导致了XSS攻击
2.首先进入客户留言板块,在内容处构造我们的POC,验证XSS漏洞
3.之后模拟管理员进行登陆,在留言管理板块进行修改留言操作,发现成功触发XSS的代码
4.那么这个漏洞可能引发网页挂马,水抗攻击,盗取cookie等等,希望没有更新版本的尽快更新版本,以减少不必要的损失。由于实验环境有所限制,以上攻击无法掩饰
最新文章
- 4 Handler相关类——Live555源码阅读(一)基本组件类
- python【第十六篇】DOM
- php目录分隔符DIRECTORY_SEPARATOR
- openStack windows2008 centos6.* img
- iOS_8_键盘操作简单
- 织梦dedecms列表页dede:pagelist分页问题
- redis数据库操作的C++简单封装
- java线程锁
- sqli注入--利用information_schema配合双查询报错注入
- java框架之SpringBoot(17)-监控管理
- Netty中的HttpObjectAggregator
- jvm的解释执行与编译执行
- Linux内核分析 第七周 可执行程序的装载
- Python实现Plugin
- Ubuntu 12.04 Desktop下vncserver配置:Unity以及Xfce4桌面环境
- linux 内核假死循环导致的问题
- 论文笔记之:Dynamic Label Propagation for Semi-supervised Multi-class Multi-label Classification ICCV 2013
- form数据请求参数格式
- TOMCAT源码分析——生命周期管理
- 腾讯互娱开源分布式开发框架Pebble