染雾
通达OA2013和2010版本,Office Anywhere 2013工作日志编辑页面存在存储型XSS,上级
1、工作日志编辑页面源码绕过bypass 字符可构造XSS!
1、截取到得cookie
2、利用Cookie Injector 在支持同源策略条件下,替换cookie 登陆到Cookie用户ceshi2.
修复方案:
1、工作日志内容编辑页面过滤
2、http-only
通达OA2013和2010版本,Office Anywhere 2013工作日志编辑页面存在存储型XSS,上级
1、工作日志编辑页面源码绕过bypass 字符可构造XSS!
1、截取到得cookie
2、利用Cookie Injector 在支持同源策略条件下,替换cookie 登陆到Cookie用户ceshi2.
修复方案:
1、工作日志内容编辑页面过滤
2、http-only
