荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: jjk (○kernel○), 信区: InstallBBS
标 题: BBS2WWW跨站脚本执行漏洞
发信站: 荔园晨风BBS站 (Mon Mar 25 09:34:56 2002), 转信
http://v7.51.net/exploites/bbs2www.txt
BBS2WWW跨站脚本执行漏洞
by analysist
http://www.nsfocus.com
漏洞描述:
BBS2WWW是计算机应用工作室(CAS)专为Firebird BBS开发的WWW界面。它使得用户不必
telnet登录
到BBS中就可以使用BBS的各项功能,大大简化了用户的操作。它还充分利用了WWW界面美观
的优点,使
人在欣赏文章时更加赏心悦目。
其中多个程序没有对用户输入的HTML代码进行过滤, 恶意攻击者可能利用该漏洞发起
跨站脚本执
行攻击,这可能允许攻击者隐藏身份,获取其他用户敏感信息,发起拒绝服务攻击等。
该漏洞影响所有版本的BBS2WWW。
测试程序:
http://xxx.xxx.xxx.xxx/cgi-bin/bbs/bbsdoc?<script>alert(document.
cookie)</script>
解决方案:
确保用户提交的参数经print_title()处理过
--
____________________________________________
|┏━━━━━━━━━━━━━━━━━━━━┓
|┃ 欢迎光临荔园晨风 Linux 版,InstallBBS 版┃
|┗━━━━━━━━━━━━━━━━━━━━┛
﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋﹋
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.146]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店