中国网络渗透测试联盟

标题: 方维社会化分享系统一句话漏洞 [打印本页]
作者: admin    时间: 2012-11-12 10:43
标题: 方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
5 Y+ d9 ]5 {# b1 p9 |( o
: ]1 l, _( z+ B" |个人简介过滤不严格,导致一句话任意执行代码。( O7 N* x' o& l1 m
! F% J- @/ Y  F, i6 d
详细说明:
0 P" C$ t. [. I个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!" E) {$ _+ @7 ]1 D1 D' h/ G; I

. K& [5 E! O) W7 F+ }" r7 g! v& L: ~! }- N0 t
漏洞证明:
9 {# ?1 v5 c4 i! p) F4 k( A- m) h4 ]: |% T" f

; W* P' r: s' B0 C, R+ j  ], S. F修复方案:& S: h& f+ O& ^
过滤个人简介。, o, @& j* O1 G# _9 M& m
检查其他地方同类漏洞!



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2