|
|
简要描述:1 C, y$ K6 y* N$ _
8 m4 z: P( {) b$ M7 t7 q1 E& L* o$ {
个人简介过滤不严格,导致一句话任意执行代码。
4 t5 ^4 m0 ]) n8 m2 C1 |. a, m" P' v8 H8 j
详细说明:
; A8 P; M# | L个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
5 p0 q C6 y7 n) c8 L1 o9 c+ S$ O# o2 z
- v+ Q0 @, E7 \* [' Q( @
漏洞证明:" C" {* D7 U7 a' U# {' J
8 ?1 k; f0 I/ k* R( O: \/ v
0 x5 c5 n& C, T- C m7 f9 y7 f9 }修复方案:
0 K5 Y) P$ P7 v7 H, D( G过滤个人简介。* m5 Y$ E% [1 P" k! m* c: r
检查其他地方同类漏洞! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2012-11-12 10:43:38
收藏
支持
反对