|
|
简要描述:- Y# g9 \6 J' v0 \
8 `/ j3 X: d( X个人简介过滤不严格,导致一句话任意执行代码。
* F: G. r: c0 D4 j
5 W0 A' C; i/ f) v& a详细说明:
+ s$ I1 g* q) b& Q; x* U个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
/ _6 g8 j8 w. |
: s2 ]7 ^7 x% M/ {# b" n
, F/ ]) j& D1 `* u) R9 E漏洞证明:
8 O" p( F4 p0 h9 L. Y1 Z3 `* C
g$ w, Z* J: ]( s. p
5 u3 i% c; M* n) k修复方案:
' \+ f2 C" ?6 Q/ s" T+ N; r过滤个人简介。
1 d4 _6 d( d' E0 J7 y$ f# f W检查其他地方同类漏洞! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2012-11-12 10:43:38
收藏
支持
反对