据说UEditor有XSS漏洞

By ivanilla at 2016-07-02 • 0人收藏 • 5405人看过

那么我就在这里测试下。

alert("XSS!")

UEditor XSS 漏洞编辑器

12 个回复 | 最后更新于 2016-07-08

ivanilla

2016-07-02 #1

<script>alert("XSS!")</script>

ivanilla

2016-07-02 #2

"/>

ivanilla

2016-07-02 #3

lincanbin

2016-07-03 #4

Ueditor只是一个前端的东西，XSS处理都在后端做的。

使用前端库怎么会导致后端出问题呢？

ivanilla

2016-07-03 #5

回复#4 @lincanbin :

但之前论坛有人成功了。

而且我还有一个方法没测试。

lincanbin

2016-07-03 #6

回复 #5 @ivanilla :

反正跟编辑器无关。

ivanilla

2016-07-03 #7

Apache 2.2 HttpOnly Cookie 400 error 漏洞测试失败。

薛老大

2016-07-08 #8

回复#6 @lincanbin :

iframe会导致xss吗？如果是asp.net是不是就不用害怕

lincanbin

2016-07-08 #9

回复#8 @薛老大 :

都一样。

薛老大

2016-07-08 #10

回复#9 @lincanbin :

在后台把敏感的东西去掉都不行吗

lincanbin

2016-07-08 #11

回复#10 @薛老大 :

当然，XSS就不能让普通用户发iframe。

ivanilla

2016-07-08 #12

回复#8 @薛老大 :

这跟使用的语言无关，XSS跟SQL注入一样，都是对用户输入过滤不严格导致的。

登录后方可回帖

登录

信息栏

Carbon Forum是一个基于话题的高性能轻型PHP论坛

下载地址：Carbon Forum v5.9.0
QQ群：12607708（QQ我不常上）

donate

手机支付宝扫描上方二维码可向本项目捐款

粤公网安备 44030602003677号
 粤ICP备17135490号

Loading...

Carbon Forum Powered By © 2006-2018 Carbon Forum V6.0.0 论坛统计
Processed in 5.955 ms, 4 SQL Query(s), 470.73 KiB Memory Usage