V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
demo
V2EX  ›  问与答

百度 echarts 官网是临时工写的吗? XSS 漏洞呢!

  •  
  •   demo · 2017-04-21 16:07:51 +08:00 · 4121 次点击
    这是一个创建于 2773 天前的主题,其中的信息可能已经有所发展或是发生改变。

    评论没做 XSS 过滤!!!

    评论没做 XSS 过滤!!!

    评论没做 XSS 过滤!!!

    进入 http://gallery.echartsjs.com 随便找个作品,点开评论,输入:

    <img src="xss!!" onerror="alert('xss!!!')">
    

    你会发现居然解析了!!

    图:

    第 1 条附言  ·  2017-04-21 17:24:57 +08:00
    貌似已经不解析了,→_→ 毕竟这里是全球最大的工单系统。
    13 条回复    2017-04-21 21:48:27 +08:00
    seancheer
        1
    seancheer  
       2017-04-21 16:41:04 +08:00
    这个太 6 了,完全是一点儿都没做。
    xuzywozz
        2
    xuzywozz  
       2017-04-21 16:47:09 +08:00
    果真是 2333
    baiyi
        3
    baiyi  
       2017-04-21 16:52:46 +08:00
    啧啧
    kxind
        4
    kxind  
       2017-04-21 16:54:41 +08:00 via iPhone
    去测试了波。。果然没做
    aheadlead
        5
    aheadlead  
       2017-04-21 17:10:52 +08:00
    Lihz
        6
    Lihz  
       2017-04-21 17:22:12 +08:00
    评论区已经被占了
    0915240
        7
    0915240  
       2017-04-21 17:37:00 +08:00
    @aheadlead 同被南京公安拦截
    H3x
        8
    H3x  
       2017-04-21 17:39:41 +08:00
    这明显是没做安全测试就上线了
    momocraft
        9
    momocraft  
       2017-04-21 17:41:20 +08:00
    gj
    LCD
        10
    LCD  
       2017-04-21 17:48:17 +08:00 via Android
    开门,收快递
    mengzx
        11
    mengzx  
       2017-04-21 18:00:49 +08:00 via Android
    已经没了
    phrack
        12
    phrack  
       2017-04-21 21:16:02 +08:00 via Android
    百度前端

    一堆的 xss
    iyaozhen
        13
    iyaozhen  
       2017-04-21 21:48:27 +08:00 via Android
    这就尴尬了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2602 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 04:38 · PVG 12:38 · LAX 20:38 · JFK 23:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.