中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
; ~3 p, L+ Q) q
: x" t" z8 v# [& O
个人简介过滤不严格,导致一句话任意执行代码。
5 X3 m' p# B ]9 t
9 z; x) ^: F% I3 ?
详细说明:
5 ^( A: t r" S
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
& C3 Q$ n, @! ?. h' ^
- l, t% O. J7 y/ i+ x* s; c
% E) l! N8 z3 Z/ c9 v
漏洞证明:
4 b6 Y6 `$ G2 v' J G- o2 g
: S* Z4 P- Y) G: P. X
5 ?2 ], Z ?0 ]- `6 [' m7 [2 Z' `: X
修复方案:
1 O* r" F$ t( p
过滤个人简介。
- g( P4 F8 W! X; n$ T; ]5 B" q# h
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2