在前台下单填地址的那框,测试到的两个XSS注入点,可能是吧?

bug问题 · myred08 · 于 4个月前 发布 · 505 次阅读

在前台下单填地址的那两个框(上下两框都可以注入),测试到的两个XSS注入点,可能是吧?

可能的利用方法:让网络管理人员用注册会员的信息登录,并打开订单详细页,或者在后台打开订单详情页

共收到 7 条回复
Fecshop#14个月前 0 个赞

Get! 记录一下。

myred08#24个月前 0 个赞

好像可以做很多事哇。 可以打开新网页。获取当前浏览器网址等等。。会爆出后台管理的URL :worried: :worried: :worried: :worried: :disappointed_relieved:

myred08#34个月前 1 个赞

Add new address的哪一排框框大部分都是可以注入。连洲省框都是可以的。

Fecshop#44个月前 0 个赞

@myred08 #3楼 找时间把这里处理一下。

sumic#54个月前 0 个赞

model多数没有做rule验证

Fecshop#64个月前 1 个赞

已经修复,一个字符写错了导致的,

代码提交: https://github.com/fecshop/yii2_fecshop/commit/479c35b2ecc35350ae280f560ebe0325eb469565

Fecshop#74个月前 1 个赞

演示地址已经修复,可以测试:http://fecshop.appfront.fancyecommerce.com/checkout/onepage

添加回复 (需要登录)
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册
Your Site Analytics