数据过滤不严, 备份目录文件可直接下载,后台编辑存在xss

Bug反馈
7 693
admin1
admin1 举报
03月09日 12:01

1.见我用户名

2.备份数据库后可根据备份名直接下载数据库文件

3.后台编辑表单没有进行xss过滤

倒序看帖 只看楼主
回帖
  • wlllbl
    03月09日 13:09

    安全最重要了

    0 举报 回复
  • 云阳
    03月09日 17:41

    感谢提醒!后台表单确实没有过滤!因为管理员只有一个,你无法在不登录情况下向后台提交表单。用户名这个问题估计你是用的qq登录的,而你的qq昵称啥好是admin。这个我马上修复。直接下载备份文件马上修复!

    0 举报 回复
  • 云阳
    03月09日 22:58

    TIM截图20180309225450

    我就不信,这个文件名你还能破解?!

    1 举报 回复
  • wlllbl
    03月10日 07:36

    不懂代码,加油,把核心精简,安全高效,基本功能完备就好了,插件模版超市化

    云阳:

    TIM截图20180309225450

    我就不信,这个文件名你还能破解?!

    0 举报 回复
  • 空壳
    03月10日 12:39

    没有使用QQ登录, 但效果应该也一样

    实现方法是在个人中心修改资料是自己构造表单, 单纯的readonly限制并没什么用

    另外用户名字段存在xss, 比如加一段CSS


    然后页面就炸了

    云阳:

    感谢提醒!后台表单确实没有过滤!因为管理员只有一个,你无法在不登录情况下向后台提交表单。用户名这个问题估计你是用的qq登录的,而你的qq昵称啥好是admin。这个我马上修复。直接下载备份文件马上修复!

    0 举报 回复