YY社区再次面临XSS

发布日期：2011-01.14
发布作者：B0mbErM@n

漏洞类型：跨站XSS
漏洞描述：通过客户端昵称插入语句,在社区昵称中导致执行.

分析:客户端的昵称在web页面中变为了代码.就这么简单..
Exp:昵称只能写20个字符,无论中英文大小写.我已经缩小到20位整..
各位有短域名的可以利用..或者用别的语句..总之如果真的大利用不太可能..
或者等以后可能有某些地方可以调用签名/资料的 同理插语句..

XSS Code:
<A HREF=//521.im>超链接
证明:
 

标签分类：