腾讯论坛漏洞，快进来围观。该怎么处理

腾讯论坛漏洞，快进来围观。
http://sobar.soso.com/t/88488251?from=CSDN&url=Amysql.com&thisis=创新&BY=CSDN.net

蛋疼的腾讯过滤明显有问题，如果想……，你懂得拉。

上面那网址各位可以改后面的参数值玩玩，……

最后我写的MySql管理系统AMS 会在5月1发布哈，
希望各位多多支持，有什么新消息首发这里哈。


http://amysql.com

------解决方案--------------------
呵呵 连iframe都没过滤掉
检测参数生成js，lz把tx.php发出来给大伙瞧瞧吧
------解决方案--------------------
哇哈哈，的确太弱了
------解决方案--------------------
很无语！

















------解决方案--------------------
我不认为这是漏洞

如果是在页面中执行了用户写入的 js 代码，那可以说是漏洞
如果用户写入的 html 代码造成了页面显示不正常，那也可以说是漏洞
执行了用户的插入式框架，不能说是漏洞。用于 js 不能跨域，所以框架中的代码不会对页面产生威胁。相反可以使页面增色不少

更何况，效果是在客户端产生的，并不对服务端构成威胁
------解决方案--------------------

探讨

浏览后页面直接跳到楼主的老窝去了，已经属于挂马行为.

引用:

我不认为这是漏洞

如果是在页面中执行了用户写入的 js 代码，那可以说是漏洞
如果用户写入的 html 代码造成了页面显示不正常，那也可以说是漏洞
执行了用户的插入式框架，不能说是漏洞。用于 js 不能跨域，所以框架中的代码不会对页面产生威胁。相反可以使页面增色不少

更何况，效果是在客户端……

------解决方案--------------------

探讨

#13
你是不是有这么干过 =_=.. 。
上面那样的，正常在列表点击没参数情况是不执行代码的，影响也不大的。


#15
但TX那个不进行过滤很明显是不好的了。
iframe是很好的，ajax、iframe、请求发送数据我都会考虑是否用iframe的，有时用iframe省很多事情。
且能做ajax不能做的事情。。

------解决方案--------------------
#24 不会吧

探讨

各种漏洞、入侵、BUG。。

isno是什么表示很不懂。。


引用:

引用:

#13
你是不是有这么干过 =_=.. 。
上面那样的，正常在列表点击没参数情况是不执行代码的，影响也不大的。


#15
但TX那个不进行过滤很明显是不好的了。
iframe是很好的，ajax、iframe、请求发送数据我都会考虑是否用ifram……

------解决方案--------------------
跨站脚本。。。。。。。。。。。
------解决方案--------------------
不是XSS吗，页面能运行你自定义的js代码，那你很有机会偷取浏览你这个页面的用户的cookie信息。
------解决方案--------------------

探讨

#26

ok啊，乍子合作?

------解决方案--------------------
说到最后是可以用来引流量
------解决方案--------------------
大湿怎就不和谐了，说着说着就跑了，还想听你讲解呢

------解决方案--------------------
你是怎么测试出来tx的bug的啊
------解决方案--------------------