 |
本文相关内容 |
 |
|
|
|
多个论坛的贴图标签存在跨站脚本攻击
|
| 添加记录:
网络应用
类别:
网络应用
发布日期:
2006.09.20
|
多个论坛的贴图标签存在跨站脚本攻击
by shocker <sh0cker@163.com>=版权所有 软件 下载 学院 版权所有=
C4 Security Team:www.china4lert.org
个人主页:http://shocknet.126.com
经过几天对不同的论坛进行测试,发现许多论坛的贴图标签全部存在跨站脚本攻击(css)漏洞,测试证明有问题的论坛包括rebb,cdb,极限论坛,vbb论坛。其中cdb是php的,有些类似vbb,极限论坛是asp,用户范围很广。
漏洞描述:
例如提交如下字符串为内容的帖子,浏览时就会得到自己的cookie。
帖子内容:[img]javascript:alert('documents.cookie')[/img]
vbb的贴图标签漏洞详见近期的中联绿盟漏洞公告(http://www.nsfocus.com)
至于跨站脚本攻击的利用,请参见www.china4lert.org上我大哥analysist的文章《跨站脚本攻击详解》,这里面已经说得相当详细了=版权所有 软件 下载 学院 版权所有=
由于vbb,极限论坛等论坛的用户密码都经过了md5加密,所以还算是安全,不过可以在得到加密代码后暴力破解密码
解决办法:
1.临时办法:禁止贴图标签的使用
2.根本办法:对源代码进行修改,把贴图标签中的信息进行过滤。
最后,我发现cdb论坛非常像vbb,我觉得现在许多地方的贴图标签好像都是抄袭别人的代码,根本自己没有考虑。所以,作为程序员在编写程序的时候即使拷贝他人代码,也要认真分析
提高cgi安全性从程序员抓起:)
(出处:http://www.8s8s.net)
|
上一篇:多动能一体激光打印机哪个牌子的好?价位呢?三星的有一款1850,不知能不能买.比HP便宜不少. 下一篇:多个CPU???
|
|
|
 |
电脑常识文选风云榜 |
 |
|
