News-TNK存在跨站脚本可执行漏洞发布时间:2002-03-20 更新时间:2002-03-20 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 News-TNK v1.2.1版本和之前版本详细描述 News-TNK是一款新闻维护系统。 其中news_post.php在输入过滤中存在漏洞,可以导致用户可以在WEB参数中加入恶意脚本代码,当其他用户浏览时候就会导致恶意代码在浏览器中执行。 测试代码 在WEB参数后输入如下脚本代码可导致在目标用户浏览器上执行: <script>alert("ALPERz was here!")</script> 解决方案 在"news_post.php"文件中增加如下过滤: # Patch Start $web=strip_tags($web); # Patch End 相关信息 Ahmet Sabri ALPER (s_alper@hotmail.com) 参考:http://archives.neohapsis.com/archives/bugtraq/2002-03/0206.html 相关主页:http://www.linux-sottises.net/ |
