在前台下单填地址的那两个框(上下两框都可以注入),测试到的两个XSS注入点,可能是吧?
可能的利用方法:让网络管理人员用注册会员的信息登录,并打开订单详细页,或者在后台打开订单详情页
Get! 记录一下。
好像可以做很多事哇。 可以打开新网页。获取当前浏览器网址等等。。会爆出后台管理的URL :worried: :worried: :worried: :worried: :disappointed_relieved:
Add new address的哪一排框框大部分都是可以注入。连洲省框都是可以的。
@myred08 #3楼 找时间把这里处理一下。
model多数没有做rule验证
已经修复,一个字符写错了导致的,
代码提交: https://github.com/fecshop/yii2_fecshop/commit/479c35b2ecc35350ae280f560ebe0325eb469565
演示地址已经修复,可以测试:http://fecshop.appfront.fancyecommerce.com/checkout/onepage
