【摘要】官网page：http://www.jsxyidc.com/YCMS留言板是以php+MySQL进行开发的php留言板源码，软件为普通的留言板可广泛应用于企业网站等需要留言板的网站中进行使用。下载地址：http://down.chinaz.com/soft/37797.htm1.存储性X...

官网page：http://www.jsxyidc.com/
YCMS留言板是以php+MySQL进行开发的php留言板源码，软件为普通的留言板可广泛应用于企业网站等需要留言板的网站中进行使用。
下载地址：http://down.chinaz.com/soft/37797.htm

1.存储性XSS漏洞

说明：由于对于用户的输入没有过滤导致JS代码运行
标题、内容、用户（姓名）以及IP

2.验证：

A.用户留言：

B.管理员审核：

执行三次alert（）；

C.审核通过后，即可展示在前台：

http://www.test.com:81/index.php

D.GetIp()函数直接返回

3.总结

在获取IP的时候管理员登陆会写入数据库，貌似可以SQL注入~

当然XSS也是存在的完全没过滤~

 小东
 简介：专业团队网站开发、安全运维，合作意向请联系！