|
|
简要描述:
; u+ r+ t: u) M) y- y2 L, L1 d& b, q7 W2 B2 T7 P, P4 W
个人简介过滤不严格,导致一句话任意执行代码。
. ?1 y* P4 Q, ?( ]1 ]+ h: |0 N0 ~! R7 H, v5 G5 F2 w6 b
详细说明:# F5 ]) i0 \/ N
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
6 X' A( M* s2 `6 \( X% J$ S: Q" K% C; k: J8 M& }1 b
) S. \4 @ s$ `& A漏洞证明:8 I* z& V6 n+ A6 l: E4 l
- \! j1 r4 C. T0 e: ?" ]
; X% S& Q! k' q8 H修复方案:1 T8 u% l+ @" G1 D0 X0 n' a1 ~
过滤个人简介。$ Y1 W' _2 Y* Z. h& G
检查其他地方同类漏洞! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|