QJblog xss worm分析与利用教程

  编程之家 jb51.cc 很久以前就想写一只xss worm,但那时的javascript水平不怎样,就放弃了,经过一段时间的学习,收获了很多。我测试的是QJblog 这个系统,QJblog 是由奇迹工作室(www.QJblog.net)开发的一套多用户博客系统,超强人性化设计,个人档、日志、音乐盒、相册、留言板、收藏夹6大主打栏目,具有多用户支持,独立二级域名访问用户博客功能。

  再来看看它的界面,是不是和QQ空间很相似,其实,它就是一个仿qq空间的多用户博客系统。

   一,XSS点:

  跨站蠕虫的诞生与传播依赖于XSS,所以必须存在跨站漏洞,我花了些时间找XSS插入点,发现了几个,相对的,这套程序的安全性很高,XSS也很隐秘。

  这个XSS在日志发表处,插入图片的URL中引号过滤不严,在添加一个网络图片输入http://1.jpg onerror=alert(/xss/) 弹出XSS的对话框。

 

网提示:点击新窗口预览!

相关文章

我想将wordpress的默认接口路由改掉,愿意是默认的带一个 wp...
wordpress自定义分类法之后,我看到链接都自动在后面添加了一...
事情是这样的,我用 get_post_type 函数创建了一个自定义分类...
最近网站莫名其妙的被顶上了,过一个多小时,就注册一个账号...
最近服务器要到期了,就想着把网站转移到另外一台服务器,本...
今天在写wordpress的接口,然后碰到个奇怪的问题,怎么访问都...