VULHUB ™

WordPress 3.04 最新XSS跨站漏洞 author:QQ吻 Team:Crack8小组 Blog http://hi.baidu.com/qhack8 发现评论下方提示 可以以HTML代码提交评论 就习惯性的测试一下 看能不能X他吗的个SS出来 然后 用K8全能黑客记事本里的XSS语句测试 结果发现 以管理员身分登陆 对文章评论提交以下语句 测试中发现 以普通用户进行评论 就算管理员通过 所提交的XSS代码 也会被WP清空掉（测试几句都是这样） 从WP的数据库里看 以USER权限登陆的 提交的 被清空了 别的语句还未测试 以下代码 有挂马 查看COOKIE 等 HTML代码 很简单 我就不解释了 大家经常玩所谓的XSS 3.04 之前版本未测试 理论上一样存在 后台设置 对所提交的代码 进行过滤

WordPress 3.04 最新XSS跨站漏洞 author:QQ吻 Team:Crack8小组 Blog http://hi.baidu.com/qhack8 发现评论下方提示 可以以HTML代码提交评论 就习惯性的测试一下 看能不能X他吗的个SS出来 然后 用K8全能黑客记事本里的XSS语句测试 结果发现 以管理员身分登陆 对文章评论提交以下语句 测试中发现 以普通用户进行评论 就算管理员通过 所提交的XSS代码 也会被WP清空掉（测试几句都是这样） 从WP的数据库里看 以USER权限登陆的 提交的 被清空了 别的语句还未测试 以下代码 有挂马 查看COOKIE 等 HTML代码 很简单 我就不解释了 大家经常玩所谓的XSS 3.04 之前版本未测试 理论上一样存在 后台设置 对所提交的代码 进行过滤