我正在尝试重现this site上演示的Wordpress持久XSS漏洞但我的行为一直很奇怪。当我使用我链接的网站中的代码创建评论时,没有任何反应。但是,如果我在“标题”之后省略“=”,则会立即弹出警报,即使预期行为是当鼠标悬停在评论上时出现弹出窗口。此外,整个页面都充满了“A”。更重要的是,当我查看“查看源代码”时,长串 A 并没有按预期被 chop 。我看到我插入的全部 64K A,加上结束标签。
我不知道这是我的安装问题还是 Javascript/HTML 问题。我已经安装了 Wordpress 4.2-RC1、MySQL 5.5.43 和 PHP 5.3.25。
最佳答案
我设法让它工作。显然,您是以帐户管理员还是访客身份发帖确实很重要。另外,我可能在评论框中输入了错误的 PoC 代码...
关于javascript - 无法重现 Wordpress 4.2 持久 XSS 漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29995313/