CSDN Blog XSS Bug

2009-01-09T00:00:00
ID SSV:4642
Type seebug
Reporter Root
Modified 2009-01-09T00:00:00

Description

CSDN是中国最大的IT技术社区,CSDN blog是面向中文地区IT专业技术人员的Blog门户,有不少IT牛人在上面开博。

在CSDN博客发表文章的时候,如果用“设计视图”模式编辑正文,不会产生跨站,测试代码<script>alert('zerosoul')</script>会被转义成&lt;script>alert('zerosoul')&lt;/script>(转义了左尖括号)。

但是如果我们点击“源视图”模式进行编辑正文并发帖的话,就不会再对左尖括号转义,造成跨站漏洞。

测试链接:http://blog.csdn.net/zerosoul/

http://hi.csdn.net 等待官方修补

                                        
                                            
                                                登陆后打开CSDN博客撰写日志,在文章正文的组合编辑器上点击“源视图”,然后在正文写入如下测试代码:
&lt;script&gt;alert('CSDN XSS Bug Test -- By zerosoul(零魂)')&lt;/script&gt;
并发帖。