简要描述:
华众系统惊现XSS漏洞,影响几千家主机服务商
详细说明:
华众、WinIIS、星外 有问必答的XSS漏洞被爆多次,估计现在都修复了。
但是华众下面的漏洞,估计我是第一个发现者。
花几元在某宝买个月付的空间,问清是华众的系统后,测试都存在此问题(程序应该会最新版的6.5)。
漏洞证明:
1、投资几元钱,在某宝买个空间,是华众的系统。
2、买好主机,点高级管理。随便找个输入框(我测试的在线解压缩)。输入(他是过滤’的):
3、提示操作失败。实际成功了。慢慢等吧(如果心急,可以联系卖家在线解压不能用)。。。
4、只要卖家在后台打开操作日志,我们就成功了。
修复方案:
过滤下html字符就可以了。 稍后测试下winiis和星外的,应该也好不到哪去。
版权声明:转载请注明来源 猫七@乌云
评论关闭。