添加时间: 2009-05-25 系统编号: WAVDB-01432 影响版本: DVBBS 8.0.0-8.2.0 程序介绍: 动网论坛做为动网主要服务产品之一,自2001年投入推广并运营以来,得到了国内外广大互联网用户的广泛好评和支持。做为国内第一的互联网论坛服务品牌,占据了国内论坛服务市场的70%以上的用户,动网论坛服务在一些如电影、下载、网游等热门网站的占有率甚至高达80%以上,是中国论坛服务领域事实上的标准。 漏洞分析: 文件show.asp中: filetype=Request("filetype") //第75行 username=Request("username") …… TempStr = Replace(TempStr,"{$username}",UserName) //第244行 程序对于输出变量filetype和username过滤导致xss漏洞的产生。 漏洞利用: http://www.target.com/show.asp?filetype=xxx&username=nnn 解决方案: 厂商补丁 DVBBS ---------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.dvbbs.net |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-30 07:29 , Processed in 0.093163 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.