EasyTalk以系统身份向用户发XSS

出现问题的代码文件路径 : easytalk/Home/Lib/Action/ImAction.class.php
代码加载时

没要求登录

而EasyTalk存储型XSS和以系统身份向任意用户发私信的漏洞在这代码

$_POST[‘content’] 为消息内容,可以注入XSS

$_POST[‘nickname’] 则是目标用户的用户名
1

2

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录