中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
" V j3 s3 q0 P5 ^8 b0 \( V
+ } `0 y9 d- I2 o; j; @
个人简介过滤不严格,导致一句话任意执行代码。
8 L T9 O* b0 k: g8 |; \
& D; V9 b- f) c. |
详细说明:
; y8 U$ [* t% m* X$ `
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
2 B# c' k k6 X% N
, c1 Y- Y) L, v2 t+ ]3 N* {
: \5 n" g+ g0 c! T& J
漏洞证明:
* c1 T, W1 V) y0 l2 G$ ?; v/ |
. A' Y" k) s8 @8 @) `
0 C9 r2 @+ h6 y# \! m) K
修复方案:
+ D# X9 w; P3 L9 p2 Y$ J0 g' Q v
过滤个人简介。
0 z; k x1 E0 U/ G% T
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2