Modoer点评系统存储型XSS下载

来源:黑吧安全网 浏览:912次 时间:2014-04-29
做网站找雨过天晴工作室

Modoer点评系统某处存储型XSS,可直接跨进后台

 
在礼品兑换处:

联系地址和备注处没有过滤,可以跨进后台: 

可以收到管理的cookie:
 


这里管理员登陆的cookie只有Z9S61_adminid和Z9S61_adminhash两个参数就ok了,所以这个xss劫持的cookie是可以直接登陆后台的。
 
修复方案:
过滤