phpmywind_5-3存储型xss

PHPMyWind_5.3/message.php (25-41)

可以看出使用htmlspecialchars进行过滤,带入库中.
跟进content参数。
PHPMyWind_5.3/admin/message_update.php

p:33

后台直接取出content参数,数据并未进行转义操作。
PHPMyWind_5.3/shoppingcart.php 留言板地址
以ing开头(可以是其他)

1
admin/message.php
需要点击修改才可以弹XSS
如果管理员留言需要前台显示(或者回复)就必须点击修改。
11

Author:小雨@90sec

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录