修复了一个XSS漏洞 - Vijos

Vijos
vistaswx LV 5 MOD @ 2013-05-03 01:23:34

首先感谢yangff的发现，其次目前已经消除此问题，再次如果您希望了解该漏洞的详细情况可以继续:

Example: [XSSTEST](javascript:alert%28%22xss%22%29)

原理: evil URI not filtered

修复: 我们对markdown输出的HTML进行二次过滤避免了这个问题

影响: 微弱 (无法窃取用户的SESSION，但存在潜在威胁)

Vijos欢迎大家以正规方式挖掘和发现安全漏洞。

twd2 LV 9 MOD @ 2013-05-03 20:24:24
twd2 LV 9 MOD @ 2013-05-03 19:14:17

XSSTEST
- yangff LV 6 @ 2013-05-03 20:42:02
  
  他把除了http:// ftp://以外的都吃了……包括sftp= =。
- twd2 LV 9 MOD @ 2013-05-03 22:02:14
  
  orz
yangff LV 6 @ 2013-05-03 13:15:54

于是图呢……
- yangff LV 6 @ 2013-05-03 13:16:36
  
  我刚刚写的是：
  ![google](https://www.google.com.hk/images/nav_logo123.png)
- vistaswx LV 5 MOD @ 2013-05-03 17:21:09
  
  图片也被过滤了