[日站]c46lcb的bug大合集

 「一个奇妙的Blog」

访客,您好
[日站]c46lcb的bug大合集


其实Winslow本来不想写这篇的 但是无奈他的错误实在是太太太太太可爱了((((

Winslow正在忙于洛谷冬日画板的时候 突然发现洛谷上有个可爱的孩子秀出了自己的站点

HC在线聊天:内容XSS注入,parent.location.herf逃逸iframe跳转本站,搞定!

于是乎他过滤了内容的<符号

然后他没有过滤作者。。。

逃逸iframe跳转,搞定##

然后是云记事本

Winslow注册了一个账号

结果发现他分账号人的方法是xxx.html,关键是这个html,他真的是一个文件。。。密码更是毫无意义

好了 主页也干掉了。。。


3 条评论
  1. windwords

    笑死 他这完全不防御XSS的吗 ![](https://cdn.luogu.com.cn/upload/image_hosting/2bfmn5u0.png)

  2. c46lcb

    alert(“hello!world”);

  3. c46lcb

    c46lcb正是在下