今天下午刚刚注册了一个新浪blog,
新浪博客XSS漏洞
。和 一样,新浪只允许编辑一部分HTML Tag,屏蔽了很多的Tag和HTML属性、事件,意在禁止恶意代码。建立了一个自定义面板,发现内容中允许STYLE标签,于是写了下面的内容进去:
CSS里面用expression执行脚本的功能,在IE7中得到保留;-moz-binding则是让Firefox执行脚本的方法,公布有挺长时间的了,可能Mozilla不认为这是个安全隐患,所以到现在还能用,
电脑资料
《新浪博客XSS漏洞》(https://www.unjs.com)。http://blog.sina.com.cn/u/1279872552 是个演示blog,使用IE6/IE7/Firefox访问,应该都可以看到弹出的"XSS"提示框。希望新浪能尽快屏蔽这个漏洞,免得招来XSS蠕虫。