中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
N( l+ Q5 q; v- a1 M
0 L/ E. I' a/ e/ c, U; _5 h
个人简介过滤不严格,导致一句话任意执行代码。
* d) J4 m) {& H! Q: H% M* F1 y
: `2 `0 R; Y7 i, L8 n# N- z
详细说明:
# L/ o, Y# G- K d0 ?
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
; @0 S( m, e7 V0 S6 z4 ^1 b
% n; o4 [- o$ g$ a/ q, }: b6 f
1 q, x4 ~0 m: Q
漏洞证明:
# f' ?" T9 d( s% T4 \
% j9 {6 d- I" O3 U5 }+ w1 ? @
# {0 {) T' H& i& q! R6 x) Y
修复方案:
9 l1 E8 d; y7 n$ W( v
过滤个人简介。
7 o3 K2 d9 `7 v5 I- Z
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2