(CVE-xxxx-xxxx)s2-002
=======================
一、漏洞简介
————
对于和标签,可以在构造和呈现标签的结果URL时注入不能正确转义的参数值。以下情况是已知的:
构造结果中包含的参数值可以注入未转义的双引号,从而可以通过转义已渲染的href属性来在生成的HTML中注入代码。
当includeParams设置为“none”的任何其他值时,和标签无法转义<"
http://www.0-sec.org:8080/index.action?test=hello
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容