PHPBB Image标识符存在跨站脚本可执行漏洞发布时间:2002-03-30 更新时间:2002-03-30 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4379 受影响系统 phpBB Group phpBB 1.0.0详细描述 phpBB是开放源代码WEB论坛程序,由PHP+MYSQL实现,运行在多种系统平台下。 phpBB允许论坛用户使用[img]/[/img]标识符来对图象进行支持,不过没有对图象标识符中的内容进行过滤,攻击者可以插入脚本代码在用户点击浏览时在用户端浏览器上执行,导致COOKIE信息泄露等。 测试代码 建立一个新的主题,然后提交,然后在使用编辑按钮,在任意地方插入: [img]javascript:alert(document.cookie)[/img] 解决方案 尚无 相关信息 "Florian Hobelsberger / BlueScreen" <genius28@gmx.de>. 参考:http://online.securityfocus.com/archive/1/264439 相关主页:http://www.phpbb.com/ |
