【工作经历:阿里巴巴搜索技术研发中心QA ,百度新产品测试部QA】
【领域:测试分析,自动化测试,性能测试,安全测试 】
【个人定位:高级测试工程师+培训师+领域产品专家】
51testing上blog系统的一个小小bug
上一篇 /
下一篇 2008-08-21 01:06:16
/ 个人分类:安全测试
在文章里插入链接的时候,尝试着写入'></scrīpt><scrīpt>alert(33)</scrīpt>。
就会发现你的页面会弹框。显示结果也爆出了js的一些内容。这只是客户端的解析问题,
这只能欺骗自己,没有危害的。
本地解析出了问题,穿上服务器,还是没有任何问题。代码都已经经过过滤了。
娱乐一下。
本来是贴出其他网站的xss的,结果就发现来这个问题。
分析一下,js的主要代码,这是添加链接的。
var a = document.getElementById("wordEditer_Link_ADS").value;
var v = document.getElementById("wordEditer_Link_TEXT").value;
if(a == "") return;
if(v == "") v = a;
var html = "<a href='" + a + "' target=\"" + t + "\">" + v + "</a>";
所以,添加的连接里,必须没有'和“, html变量最终会被打断,就乱了。这一切都是本地的操作。
传入服务器上后,都是经过html编码的,不会有什么问题。
所以,没有危害,只是娱乐而已。
同时也发生了一次疏忽,因为我在开着工具调试,结果上网站的时候,忘记关了,直接生成了一大堆日志。
无言了。
收藏
举报
TAG:
安全测试