多个论坛的贴图标签存在跨站脚本攻击

多个论坛的贴图标签存在跨站脚本攻击

 

漏洞描述：

例如提交如下字符串为内容的帖子，浏览时就会得到自己的cookie。

帖子内容：[img]javascript:alert('documents.cookie')[/img]

 

vbb的贴图标签漏洞详见近期的中联绿盟漏洞公告(http://www.nsfocus.com)

 

至于跨站脚本攻击的利用，请参见www.china4lert.org上我大哥analysist的文章《跨站脚本攻击详解》，这里面已经说得相当详细了=版权所有  软件 下载  学院  版权所有=

 [1] [2] [3] [4]  

 

由于vbb，极限论坛等论坛的用户密码都经过了md5加密，所以还算是安全，不过可以在得到加密代码后暴力破解密码

 

解决办法：

1.临时办法：禁止贴图标签的使用

2.根本办法：对源代码进行修改，把贴图标签中的信息进行过滤。

 

最后，我发现cdb论坛非常像vbb,我觉得现在许多地方的贴图标签好像都是抄袭别人的代码，根本自己没有考虑。所以，作为程序员在编写程序的时候即使拷贝他人代码，也要认真分析

 [1] [2] [3] [4]  

 

提高cgi安全性从程序员抓起：）

（出处：http://www.sheup.com）

 [1] [2] [3] [4] 

 

解决办法：

1.临时办法：禁止贴图标签的使用

2.根本办法：对源代码进行修改，把贴图标签中的信息进行过滤。

 

最后，我发现cdb论坛非常像vbb,我觉得现在许多地方的贴图标签好像都是抄袭别人的代码，根本自己没有考虑。所以，作为程序员在编写程序的时候即使拷贝他人代码，也要认真分析

 [1] [2] [3] [4] [5] [6]  

 

提高cgi安全性从程序员抓起：）

（出处：http://www.sheup.com）

 [1] [2] [3] [4] [5] [6]