MetInfo 5.3.3一处XSS

90_ · 发表于 2016-1-8 00:05:46

这个东西有点鸡肋。。。。。

漏洞细节：

后台——用户——管理员——编辑——在“姓名一栏”里插入代码

[JavaScript] 纯文本查看 复制代码

<script>alert('XSS')</script>

最后一步——保存

No0d1es · 发表于 2016-1-8 00:43:08

这不是要进入后台么？

90_ · 发表于 2016-1-8 09:18:37

No0d1es 发表于 2016-1-8 00:43
这不是要进入后台么？

嗯，所以说鸡肋

qazwsx · 发表于 2016-1-8 12:10:06

进去后台之后应该不用再xss吧。。。确实鸡肋

Mrlin · 发表于 2016-1-9 12:07:41

提示: 作者被禁止或删除内容自动屏蔽

小圈圈 · 发表于 2016-1-9 17:44:50

好像真没啥用

蝶恋花 · 发表于 2016-1-10 00:32:52

进了后台，xss，确实鸡肋

1763439819 · 发表于 2016-1-10 16:22:42

貌似没啥用

tx1 · 发表于 2016-1-11 16:35:17

如果是会员在前台注册的用户名呢？有试过吗