2009年一次偶然间测试发现的此XSS漏洞,因为是存储型的,我想大家应该知道它的危害吧。相隔这么多年DZ不断的更新版本,但此漏洞依然存在,今天就发布出来吧!留着也没什么用会长毛的,呵呵。
在此我要感谢一下我的好朋友Jackal在09年的时候一起帮我测试漏洞的。
当时我们一起测试的是DZ6.0-DZ7.2,不知道是不是通杀啊。哈哈!没有一个一个去测试。有条件的去测试一下吧。
详细说明:
发贴进入源码模式,写入如下的exp
上面代码是以鼠标事件来触发XSS的,剩下的大家可以自行发挥构造!!!
附上XSS完的源码如下:
我想你们一看就明白了吧!!!
漏洞证明:
本地测试结果:
Discuz! X2