0x01 介绍

又是一款开源CMS内容管理系统PhpMyWind,在小于等于5.4版本中存在储存型XSS漏洞。如下图所示,这个就是发生储存型XSS漏洞的代码

0x02 演示

1.第一张图是客户留言时,对留言的内容进行htmlspecialchars函数过滤。第二张图是管理员在修改留言信息时并未对显示的内容进行过滤,所以导致了XSS攻击





2.首先进入客户留言板块,在内容处构造我们的POC,验证XSS漏洞





3.之后模拟管理员进行登陆,在留言管理板块进行修改留言操作,发现成功触发XSS的代码





4.那么这个漏洞可能引发网页挂马,水抗攻击,盗取cookie等等,希望没有更新版本的尽快更新版本,以减少不必要的损失。由于实验环境有所限制,以上攻击无法掩饰

最新文章

  1. 4 Handler相关类——Live555源码阅读(一)基本组件类
  2. python【第十六篇】DOM
  3. php目录分隔符DIRECTORY_SEPARATOR
  4. openStack windows2008 centos6.* img
  5. iOS_8_键盘操作简单
  6. 织梦dedecms列表页dede:pagelist分页问题
  7. redis数据库操作的C++简单封装
  8. java线程锁
  9. sqli注入--利用information_schema配合双查询报错注入
  10. java框架之SpringBoot(17)-监控管理
  11. Netty中的HttpObjectAggregator
  12. jvm的解释执行与编译执行
  13. Linux内核分析 第七周 可执行程序的装载
  14. Python实现Plugin
  15. Ubuntu 12.04 Desktop下vncserver配置:Unity以及Xfce4桌面环境
  16. linux 内核假死循环导致的问题
  17. 论文笔记之:Dynamic Label Propagation for Semi-supervised Multi-class Multi-label Classification ICCV 2013
  18. form数据请求参数格式
  19. TOMCAT源码分析——生命周期管理
  20. 腾讯互娱开源分布式开发框架Pebble

热门文章

  1. httpPost的两种方式
  2. mongodb 聚合(aggregate)
  3. 确保某个BeanDefinitionRegistryPostProcessor Bean被最后执行的几种实现方式
  4. 为什么要从 Linux 迁移到 BSD1
  5. PTE 准备之 Read aloud
  6. HYSBZ 1734 二分
  7. 京东数科面试真题:常见的 IO 模型有哪些?Java 中的 BIO、NIO、AIO 有啥区别?
  8. validator库参数校验
  9. 4、Spring教程之Spring配置
  10. Edge 浏览器开发工具新增了 3D 视图,你尝试了吗?