[原创]教育人博客XSS/CSRF漏洞

Posted by c4pr1c3 on September 21, 2007

今天上英语课,老师居然让我们每隔2周写一次英文blog。我ft!最可恨的是,居然必须要求用教育人的博客。哎,记得去年第一次使用教育人的博客还觉得界面挺好看的,而专业的本能让我对它的安全性进行了一些测试。

真是不测试不要紧,一测试一身汗啊。。。

下面的这个链接是一个POC,感兴趣的朋友们可以先登录你的教育人博客,然后点击下面这个链接

http://www.blog.edu.cn/user3/231995/archives/2007/1866179.shtml

我在这个POC里只是实现了添加我的这个测试用blog到你的友情链接。

嘿嘿,这让你想到了什么?

对,MySpace Samy Worm!

记得去年用教育人博客的时候,还是有一些脚本过滤功能的(虽然很弱),今天一用突然发现连过滤都省了。。。

sigh~