摘要：本文主要记录一些在工作中遇到的XSS攻击，而且是跟文件上传的XSS姿势 在若干的系统安全测试中，最近对xss方面比较关注，缘由可能是这期间的xss相对比较多吧。 一、批量导入设置-内容插入 正常情况下，我们通过页面截取请求，修改请求参数插入一些恶意的script【<script>alert("xss 阅读全文

摘要：初步怀疑：凡使用 KindEditor 且具有远程图片上传的功能都存在xss漏洞（已经对两个系统使用KindEditor的情况进行验证） 1、测试的web使用 KindEditor 2、web通过此件可以编辑公告信息 3、公告信息会让其他用户可见，这里的漏洞主要出现在图片上传 KindEditor 阅读全文