导航网站自动收录漏洞-劫持漏洞

导航网站自动收录漏洞-劫持漏洞

我想搞个导航网站来着,看着自动收录的网站然后就发现了很多导航网站有这个bug

BUG后果:可以在网站上上传任意js html代码,会被劫持,跳转等等。

BUG原因:导航网站自动收录漏洞-劫持漏洞

大家看图,只要我在我的网站上面,做了导航网站的连接。然后点入到导航网站内,
导航网站就会读取,我网站的信息,自动收录到它的数据库。
只要我在

隐藏的内容
<title>标签里面添加上html 或者js代码。就会被收录到导航网站内。我看了一下大部分的导航网站模板,均没有过滤html代码

  1. <title><meta http-equiv=“refresh” content=“5;”url=“https://www.html404.com”> </title>

导航网站自动收录漏洞-劫持漏洞

然后这个网站抓取的标题,就变成了代码。植入到导航网站首页了。

然后网站就被劫持了。

 

分享到 :
相关推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注