2009/11/17

Plurk XSS 安全性問題 (3)

不小心又看到的。Orz



http://www.plurk.com/unsubscribe?bemail=PHNjcmlwdD5hbGVydCgneHNzc3Nzc3Nzc3Nzc3Nzc3MnKTs8L3NjcmlwdD4=

bemail 只用 Base64 encode 而已,沒做其他處理。
而且系統只有阻擋 <input> 裡面的 value 把 <> 取代掉而已,<h2> 裡面的卻沒有處理。

唉,應該要做嚴謹一點的全域檢查啊....

這篇已經回報了。
一天後張貼。

No comments:

Post a Comment