我爱电脑技术论坛 » 网络安全区 » 动网论坛XSS

bbs23 发表于 2008-7-20 22:52

动网论坛XSS

近来维护自己论坛的时候，发现动网的一处XSS漏洞。这个XSS问题出现在圈子插件那里。文笔不好，不多说，看图片和简要说明吧。
我这测试的是动网8.2版本的。其他也没测试。
进入动网后台（这个不难吧？），在“插件管理”—“个性圈子管理”处，添加个圈子。名字就随便来个吧。管理员名称就指定个论坛注册用户。在圈子说明那里可以插入代码。

[attach]38087[/attach]

注：在动网后台，将已经存在的圈子的“圈子说明”资料删除后再添加代码的话，触发不了。

查看完整版本: 动网论坛XSS