discuzX3.0_存储型xss跨站漏洞-学习笔记
漏洞名称
discuzx3.0 _存储型xss跨站漏洞
发布时间
2014-01-27
漏洞分类
存储型xss漏洞
缺陷代码
没有对网络url地址参数进行过滤。
实验步骤
打开目标站点,发表日志,点选网络图片,输入以下代码http://www.22222.cc/a.gif"onerror=javascript:alert(document.cookie)>
保存链接,并发表日志。
此时如果点击该日志链接会出现弹窗。
分析和思考
xss存储型xss跨站的危害是
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击