wordpress主题dmeng投稿处存在XSS跨站

因为测试模板。首先解决了私信问题。然后来到了投稿的地方

在文件dmeng2.0\author.php 167行开始

//对post_copyright进行了简单的htmlspecialchars处理。这个和上次的私信差不多吧。存进了wp_postmeta。再看看哪里取出来了

文件\dmeng2.0\functions.php 511行

和之前的一样。先htmlspecialchars处理了,然后再htmlspecialchars_decode还原出来了
就把之前编码进去的又给还原出html代码了。

利用办法
xss0

xss

表示这个修复我还真的感觉难办了~

现在提供一个方案。那个input加hidden属性。因为这个东西原本就不需要怎么去修改的呐.当然这个是最傻逼的临时解决方案
themes\dmeng2.0\inc\settings-writing.php 67行

方案二就是过滤。不过其中的xss代码也是属于正常的html代码。这个正在想办法
增加一个函数

我们加载一些已知的xss测试代码
bypass0
bypass

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录