中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
9 D8 q- r0 M5 s! t' K& p# o
0 k9 n1 x. A1 k( F) Q
个人简介过滤不严格,导致一句话任意执行代码。
6 B. H" u' F4 d' t: Y
* u* T7 O R: H! m b/ t# x
详细说明:
5 k f! o \0 O
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
# ~9 Z$ r0 _7 Y1 g5 _$ ^9 r
% I6 z- f. S$ ~8 l
3 \8 K8 J [0 C% x) K" d5 ~% n0 T
漏洞证明:
H. E7 t8 m- i9 s
( N0 ?+ G$ J& \1 r$ S: K
- ]2 K% f/ M9 Y6 C4 R
修复方案:
* E5 `+ \$ Z& _
过滤个人简介。
, j6 m- l* \! |6 I0 ^
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2