账号通
    

账号  

密码  

2615

查看

3

回复
主题:XSS跨站脚本漏洞 /plus/link/ [收藏主题] 转到:  
yellowside 当前离线

80

主题

2

广播

0

粉丝
添加关注
级别:学前班

用户积分:1996 分
登录次数:233 次
注册时间:2009/3/12
最后登录:2019/12/12
yellowside 发表于:2013/5/16 8:53:33   | 只看该作者 查看该作者主题 楼主 
科汛在线考试系统(NET)
KEESION .NET版本ICMS V1.0.3
漏洞级别:中危漏洞名称: XSS跨站脚本漏洞
详细内容: /plus/link/
修复建议:
  • 假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。
  • 不要仅仅验证数据的类型,还要验证其格式、长度、范围和内容。
  • 不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
  • 对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。
  • 在网站发布之前建议测试所有已知的威胁。

检测服务:知道创宇scanv   http://www.scanv.com
 
千奇数据-优秀域名主机提供商:www.qianqi.net 冰豆网-新一代清新个性化的安全网址导航:www.bingdou.net
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
科汛官方 当前离线

47268

主题

145

广播

405

粉丝
添加关注
级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
科汛官方 发表于:2013/5/16 9:36:48   | 只看该作者 查看该作者主题 沙发 
科汛在线商城系统(NET)
感谢提供,已收录测试,如有问题,接下来小补丁修正。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
niceboy911 当前离线

23

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:152 分
登录次数:120 次
注册时间:2010/9/20
最后登录:2019/8/18
niceboy911 发表于:2013/6/10 22:43:30   | 只看该作者 查看该作者主题 藤椅 
科汛在线商城系统(NET)

用户留言、评论都允许输入script、iframe,用于入侵者直接看到管理员的cookies,很可怕啊,md5密码、用户名、包括保留认证密码都在里面显示啊……



建议快速修复,已知的地址:申请友情连接、用户留言、评论、用户反馈等(可能包括论坛)。



一但获得管理员帐号、密码,最严重的是里面居然还有一个在线sql执行……你懂的……服务器权限就是这么被获得的……惨

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
科汛官方 当前离线

47268

主题

145

广播

405

粉丝
添加关注
级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
科汛官方 发表于:2013/6/12 10:48:09   | 只看该作者 查看该作者主题 板凳 
做在线知识付费 选科汛云开店
以下是引用 niceboy911在2013-6-10 22:43:30的发言:

用户留言、评论都允许输入script、iframe,用于入侵者直接看到管理员的cookies,很可怕啊,md5密码、用户名、包括保留认证密码都在里面显示啊……





建议快速修复,已知的地址:申请友情连接、用户留言、评论、用户反馈等(可能包括论坛)

一但获得管理员帐号、密码,最严重的是里面居然还有一个在线sql执行……你懂的……服务器权限就是这么被获得的……惨

升级到1.0.4了吗?
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.10938秒 powered by KesionCMS 9.0