«

Emlog最新版本存储型XSS漏洞复现

站长 • 2024-01-31 02:20 • 238 次点击 • 技术文章

注册用户,发布文章中插入恶意代码。点击保存文章,通过浏览文章获取到文章url
可导致用户包括网站管理员访问

以我自己搭建的emlog博客演示:
https://我爱.黑客.wang/admin

注册测试用户:
test@qq.com
Emlog最新版本存储型XSS漏洞复现

发布文章
Emlog最新版本存储型XSS漏洞复现

插入js代码,
Emlog最新版本存储型XSS漏洞复现

然后保存草稿
Emlog最新版本存储型XSS漏洞复现

点击预览文章获取文章URL
Emlog最新版本存储型XSS漏洞复现

现在换管理员的账号,访问该文章的url

一.管理登录后台,可看到有个草稿
Emlog最新版本存储型XSS漏洞复现

点击浏览即可触发
Emlog最新版本存储型XSS漏洞复现

二、直接复制文章url发送给管理,也可以直接触发

推荐阅读:

扫描二维码,在手机上阅读
收藏
还没收到回复
请先 登录 再回复