【发布时间】:2015-07-11 18:48:24
【问题描述】:
我正在尝试重现在 this site 上演示的 Wordpress 持久性 XSS 漏洞,但我遇到了奇怪的行为。当我使用链接的站点中的代码创建评论时,什么也没有发生。但是,如果我在“title”之后省略了 '=',则会立即弹出警报,即使预期的行为是当鼠标悬停在评论上时会出现弹出窗口。此外,整个页面都充满了'A'。更重要的是,当我查看“查看源代码”时,一长串 A 并未按预期截断。我看到我插入的所有 64K 的 A,加上结束标签。
我不知道这是我的安装问题还是 Javascript/HTML 的问题。我已经安装了 Wordpress 4.2-RC1、MySQL 5.5.43 和 PHP 5.3.25。
【问题讨论】:
标签: javascript php jquery mysql wordpress