Faq-O-Matic存在跨站脚本可执行漏洞发布时间:2002-04-23 更新时间:2002-04-23 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4565 受影响系统 Jon Howell Faq-O-Matic 2.711详细描述 Faq-O-Matic是FAQ WEB管理系统。 其中由于对用户查询提交的数据没有很好过滤,可导致攻击这在fom脚本中的file参数中输入恶意脚本代码。当其他用户查看此连接时导致脚本在浏览器中执行,造成COOKIE信息等信息。 测试代码 http://www.wherever.tld/path_to_Faq-O-Matic/fom?file=<script>alert('If+this+script+was+modified,+it+could+easily+steal+amigadev.net+cookies+and+log+them+to+a+remote+location')</script>&step 解决方案 尚无 相关信息 BrainRawt . <brainrawt@hotmail.com>. 参考:http://faqomatic.sourceforge.net/ |
