|
|
简要描述:. o8 x8 x) V4 y: c, O q4 M
( Q+ N ^5 C% A% I6 u, U# b个人简介过滤不严格,导致一句话任意执行代码。
" E7 u8 R" O# s% q0 t& D$ y3 g; a) C1 E+ O0 c8 @7 \/ T9 D5 N+ u
详细说明:* z. H% H9 {) J. r: o* M+ y8 X
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!. Y: Z9 `7 f2 ?* Q( I6 s, F
3 H4 b3 h3 N3 R6 T5 H
' _" M, M# p" o漏洞证明:
% U9 f m+ ~, @: l1 e& k& @- G. Y0 [5 R6 s# s
8 A" r5 V- `8 m, {8 M, g6 O
修复方案:; ^+ E' A6 c3 ^2 F# b9 J6 t8 F6 S
过滤个人简介。
! C8 E ^9 G, T: S检查其他地方同类漏洞! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2012-11-12 10:43:38
收藏
支持
反对