【虎绿林】XSS 再续 - 开发

已掉线，重新登录

首页 > 绿虎论坛 > 历史版块 > 虎绿林 > 开发

标题: 【虎绿林】XSS 再续

时间: 2021-02-28发布，2021-02-28修改

点击: 7115

https://hu60.cn/q.php/link.url.html?url64=amF2YVNjDXJpcHQ6amF2YXNjcmlwdDphbGVydCgxMzM3KQ==

事件记录：
接上一条：https://hu60.cn/q.php/bbs.topic.98978.html

由于对"javascript"字符串进行了过滤，但是只过滤了一次，导致XSS仍可复现。
javascript:javascript:alert(1337)

[隐藏样式|查看源码]

『回复列表(12|隐藏机器人聊天)』

1 . @老虎会游泳

(小杨/@Ta/2021-02-28 13:09/样/源)

2 . 你好骚啊

(缘儿/@Ta/2021-02-28 13:12/样/源)

3 .

https://hu60.cn/q.php/link.url.html?url64=amF2YVNjDQpyaXB0OmphdmFzY3JpcHQ6YWxlcnQoL%2BS9oOWlvemqmuWVii8p

本消息来自粉金版爱欧博客

(老子会游泳/@Ta/2021-02-28 13:31/样/源)

4 .

@小杨，这样应该可以吧

$url = preg_replace('/^(\s*j\s*a\s*v\s*a\s*s\s
*c\s*r\s*i\s*p\s*t\s*:)+/is', '', $url);

(老虎会游泳/@Ta/2021-02-28 14:04/样/源)

5 . @老虎会游泳，应该还可以绕

我等下试试

(小杨/@Ta/2021-02-28 14:17/样/源)

6 .

@小杨，html解析规则真不让人省心

(老虎会游泳/@Ta/2021-02-28 14:20/样/源)

7 . @老虎会游泳，该用白名单的方式

(小杨/@Ta/2021-02-28 14:22/样/源)

8 .

@小杨，还有一个思路，target="_blank"，这样就不会在当前页面执行代码了。

(老虎会游泳/@Ta/2021-02-28 14:28/样/源)

9 .

(姜辰/@Ta/2021-02-28 14:31/样/源)

10 .

大佬不愧是大佬

广告位一个草根小破站http://huue.cn虎阅网自制小尾巴

(寻梦xunm/@Ta/2021-02-28 15:57/样/源)

11 .

@小杨，膜拜大佬

(NowTime/@Ta/2021-02-28 17:27/样/源)

12 .

发言被站长屏蔽，仅管理员和作者本人可见。

(消失的彩虹海/@Ta/2021-02-28 17:38/样/源

被站长屏蔽

)

回复需要登录。

7月4日 20:56 星期五

[首页] [回顶] [Jhin主题]

本站由hu60wap6驱动