Board-TNK存在跨站脚本可执行漏洞发布时间:2002-03-20 更新时间:2002-03-20 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Board-TNK v1.3.0详细描述 Board-TNK是一款PHP编写的讨论论坛程序。 其中Board-TNK在输入过滤中存在漏洞,可以导致用户可以在WEB参数中加入恶意脚本代码,当其他用户浏览时候就会导致恶意代码在浏览器中执行。 测试代码 在WEB参数后输入如下脚本代码可导致在目标用户浏览器上执行: <script>alert("ALPERz was here!")</script> 解决方案 在"board.php"文件中增加如下过滤: # Patch Start $web_post= strip_tags ($web_post); # Patch End 相关信息 Ahmet Sabri ALPER (s_alper@hotmail.com) 参考:http://archives.neohapsis.com/archives/bugtraq/2002-03/0209.html 相关主页:http://www.linux-sottises.net/ |
