upsuper
commented
7 years ago 看起来这些textarea里面没有做任何escape,就连标签也能直接使用。这实际上是一个安全问题,可以用来进行XSS攻击。自我介绍和目录说明姑且还好,因为只能攻击自己,毫无意义……而人物简介的编辑页面是可以被其他人访问的,因此是一个真正的攻击目标。虽说如此,但实际上那个页面的访问者也相当之少吧……不过会访问的反而可能是HVT呢(笑)
Closed protodonuts closed 7 years ago
upsuper
commented
7 years ago 看起来这些textarea里面没有做任何escape,就连标签也能直接使用。这实际上是一个安全问题,可以用来进行XSS攻击。自我介绍和目录说明姑且还好,因为只能攻击自己,毫无意义……而人物简介的编辑页面是可以被其他人访问的,因此是一个真正的攻击目标。虽说如此,但实际上那个页面的访问者也相当之少吧……不过会访问的反而可能是HVT呢(笑)
protodonuts
commented
7 years ago @upsuper 也可以拿来攻击树洞使用者, 虽然没什么攻击价值(bgm38 攻击树洞大概只能捣乱 (logout, 破坏页面之类) 和拿 ip 地址
Sai
commented
7 years ago 多谢多谢,已修正,若有其他 XSS 漏洞请开新 issue。
起初是发现个人自我介绍里含有的
�再次保存时被转成了一个奇怪的字符�,于是测试了一下,发现 textarea 里原有内容没有转成 HTML entity 就加上去了接下来又试了几个地方,其中出现问题的有 自我介绍、目录说明、人物简介 这三者的编辑页。可能还存在别的没有测试到的地方。
/person/19351 是一个 XSS 的例子, 需要维基人权限
@Sai