JYmusic 是一款开源的跨平台音乐管理系统。
有着清新的界面和强大的功能。
jymusic界面
在2.0版本中发现了一个可以打管理员cookie的漏洞
利用条件
1.登录会员
2.认证音乐人
上传音乐时,抓包,修改name或者cover_url参数
值为:
XSS"><script>alert(document.cookie)</script>>
此时提交的音乐就会存储到数据库中,由于name和cover_url没有过滤,导致在后台管理员审核的时候会触发一个XSS
效果
后台审核处触发
如果通过审核了前台也会大面积触发
前台触发
前台触发
这个问题在V2.0以下版本都存在(目前所有版本通杀)
建议存在问题的站长及时修复。
JYmusic 是一款开源的跨平台音乐管理系统。 有着清新的界面和强大的功能。 在2.0版本中发现了一个可以打管理...
XSS漏洞大致分为三种 反射型XSS漏洞 存储型XSS漏洞 基于DOM的XSS漏洞 反射型XSS漏洞 它通过给别人...
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,...
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,...
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,...
目录结构 1、 背景知识 2、 XSS 漏洞的分类 3、 XSS 防御 4、 如何测试 XSS 漏洞 5、 HTM...
SSRF防御 SSRF安全漏洞以及防御实现 XSS防御 xss漏洞以及防御实现 CSRF防御 CSRF安全漏洞以及...
XSS xss漏洞个人感觉就两种,一种是反射型xss,另外一种是存储型xss。我之前用bp学习xss漏洞挖掘的时候...
本文由云+社区发表 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础、XSS基础、编码基础、XSS Paylo...
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),...
本文标题:jymusic V2.0 前台XSS漏洞
本文链接:https://www.haomeiwen.com/subject/vpravxtx.html
网友评论