怎么同时接收老公的微信,和老婆的微信怎样偷偷同步
| 漏洞作者:幻泉[B.S.N]源码下http://www.dvbbs.net/products.asp官方网http://www.dvbbs.net漏洞等级:中高漏洞说明:漏洞一: show.aspCode:If Request("username")="" or Request("filetype")="" or Request("boardid")="" then rsearch="" …………If Request("username")<>"" Then rsearch=rsearch&"and F_Username=’"&Dvbbs.checkStr(Request("username"))&"’"这里我们可以看到对username利用Dvbbs.checkStr进行过滤。但是过滤赋值给rsearch对于本文的跨站没起作用,但是我们也要看看Dvbbs.checkStr过滤的内容。 Inc\const.asp Code: Public Function Checkstr(Str) If Isnull(Str) Then ’如果没有那么为空 CheckStr = "" Exit Function End If Str = Replace(Str,Chr(0),"")’过滤截断 CheckStr = Replace(Str,"’","’’")’过滤空 End Function 只过滤了SQL注入的,没有针对xss的过滤,所以我们可以随意输入跨站语句。Resource\tenokate_1\show_html4.htm浏览{$username}的个人展览||这里直接输出内容用户名的内容 漏洞二:smiley.aspCode:<%If Request("t")="1" Then Face_Main()Else Main()End IfDvbbs.PageEnd()Sub Main() Dvbbs.Loadtemplates("post") Dim star If Request("star")<>"" Then star=Request("star") Else star=1 End If%>这里我们可以看到如果t不等于1那么就会运行main(),而main()会获取变量star,并且没进行任何过滤。Code:<%Response.Write "var aImages=’"&Dvbbs.Forum_Emot&"’;"Response.Write "var star="&star&";"%> 这里直接输出导致跨站存在。 漏洞三: Reg.aspCode: If Request.form("question")="" And question_answer Then ErrCodes=ErrCodes+" |
(责任编辑:网络)
上一篇:如何悄悄登我老婆微信不被发现呢
下一篇:你的拖延症需要这样治疗
滇ICP备19002590号-1