DedeCMS v 5.7 sp2 RemoveXSS bypass(转载)

正文:

来自:http://www.freebuf.com/vuls/181783.html
作者刚发出来的,一看原来还有这么多漏洞,具体看原文吧
摘自:
1.两次编码的时候,正则和黑名单就没软用了;
2.黑名单匹配的时候,正则无法匹配到没有分号结尾的编码;
3.也是黑名单匹配的时候,匹配编码字符大概在0-8个字符之内,但是十六进制可以超过八个字符,这个时候也无法匹配。
 
2018.8.30

发表评论

电子邮件地址不会被公开。 必填项已用*标注