论坛所有用户组都可以在帖子中包含html代码而且都会被解析,这样不是会产生安全隐患嘛?比如将【更改自己用户组为管理员】的URL请求写在HTML里然后某个具有管理员权限的用户过来看一下这个帖子,不就可以以管理员权限来启动这个指令了?
【下图为原帖截图】
驻魂圣使 发表于 2020-11-7
加载数据中...
admin 发表于 2020-11-7
这种技术叫做 CSRF 跨站请求
用户发帖后的HTML会被HYBBS KSES支持库进行XML解析重组,会过滤掉会执行的属性。所以XSS代码是无法执行的。
即使突破了这个 在文章内写入危险代码 也无法调用HYBBS后台请求
因为HYBBS后台左右CSRF防跨站请求,仅允许在admin页面POST请求。
admin
2020-11-7
好的,谢谢解答
站点主题:3769
站点帖子:31513
站点用户:19398
今日主题:0
今日帖子:0
今日注册:0
运行耗时:0.0101 s
返回首页
BUG建议
驻魂圣使
发表于 2020-11-7
评论列表
加载数据中...
admin
发表于 2020-11-7
这种技术叫做 CSRF 跨站请求
用户发帖后的HTML会被HYBBS KSES支持库进行XML解析重组,会过滤掉会执行的属性。所以XSS代码是无法执行的。
即使突破了这个 在文章内写入危险代码 也无法调用HYBBS后台请求
因为HYBBS后台左右CSRF防跨站请求,仅允许在admin页面POST请求。
所以想执行代码,必须存在XSS漏洞。
评论列表
加载数据中...
驻魂圣使
发表于 2020-11-7
admin
2020-11-7
这种技术叫做 CSRF 跨站请求
用户发帖后的HTML会被HYBBS KSES支持库进行XML解析重组,会过滤掉会执行的属性。所以XSS代码是无法执行的。
即使突破了这个 在文章内写入危险代码 也无法调用HYBBS后台请求
因为HYBBS后台左右CSRF防跨站请求,仅允许在admin页面POST请求。
所以想执行代码,必须存在XSS漏洞。
好的,谢谢解答
评论列表
加载数据中...