导航网站自动收录漏洞-被劫持
本帖最后由 1327067592 于 2020-7-25 17:13 编辑导航网站自动收录漏洞-被劫持
我想搞个导航网站来着,看着自动收录的网站然后就发现了很多导航网站有这个bug
自动收录网站:https://www.shoulu.link/
BUG后果:可以在网站上上传任意js html代码,会被劫持,跳转等等。
BUG原因:
大家看图,只要我在我的网站上面,做了导航网站的连接。然后点入到导航网站内,
导航网站就会读取,我网站的信息,自动收录到它的数据库。
只要我在
<title>标签里面添加上html 或者js代码。就会被收录到导航网站内。我看了一下大部分的导航网站模板,均没有过滤html代码
<title><meta http-equiv="refresh" content="5;"url="http://www.baidu.cn/"> </title>
https://s1.ax1x.com/2020/05/23/YvqWFS.png
然后这个网站抓取的标题,就变成了代码。植入到导航网站首页了。然后网站就被劫持了。
声明:这只是漏洞分析,大家千万别去恶意破幻别人的网站!
如果你也有导航网站,自己加个过滤代码修复吧!
给个好评谢谢。!
Takitooru 发表于 2020-5-23 19:26
应该是入库的时候没有过滤html代码吧,入库的时候应该只取值就行了
就是过滤一下html即可, 利用这种网站做外链很不错,我看到很多网站的分类目录都能提交进去,是不是这个原理?我还是没搞明白,请赐教,谢谢 好的这就去试试 wangyoo 发表于 2020-5-23 18:31
好的这就去试试
微微,别干坏事 ??这个是只讲了个title吗?
自动收录的那个工具是指的是被哪里收录? 谢谢分享 学习一下,支持你 很有趣,谢谢分享 怎么干坏事 手把手教一下 是不是网站的搜索等也要过滤丫
页:
[1]
2