MakeBid Auction Deluxe 跨站脚本可执行漏洞发布时间:2002-02-18 更新时间:2002-02-18 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4069 受影响系统 USANet Creations MakeBid Auction Deluxe 3.30详细描述 MakeBid Auction Deluxe 是一款主机实时拍卖软件。 其中在表单域没有很好的过滤脚本代码,可造成攻击者查看合法用户的COOKIE等 信息,结合跨站脚本可执行和COOKIE中存储着明文密码等信息,可造成攻击者以 合法用户身份进行操作。 测试代码 见描述 解决方案 采用如下补丁: USANet Creations MakeBid Auction Deluxe 3.30: USANet Creations Patch MakeBid Auction Deluxe Update http://www.netcreations.addr.com/updates/index.html 相关信息 Blake Frantz <blake@mc.net>. 参考:http://www.securityfocus.com/archive/1/255251 相关主页:http://www.netcreations.addr.com/auctiondeluxe.html |
