Auto BlogRoll:
© / Posted in 知识如海 / September 6, 2009
Auto BlogRoll2.2 XSS漏洞
发布时间: 2009-09-06
严重程度:低
利用方式:XSS攻击
受影响版本:所有版本(2.2经测试存在问题,低于2.2的版本猜测有相同问题但为经测试)
作者: 孤毒老鼠
详细描述:
插件没有对输入的字符串进行关键字过滤,导致可以输入' <>等字符。并且在利用插件本身的小工具和页面输出时也没有做特殊字符过滤。导致可以输入特殊构造的网站名等进行攻击。
插件在管理后台的输出也没用进行特殊字符过滤,在管理员登陆后台管理该插件时也会触发XSS漏洞。
测试代码:申请链接时在网站名输入test<script>alert('xss')</script>
解决方案:在插件输入输出代码前对字符串进行特殊字符过滤
© / Posted in 知识如海 / September 6, 2009
在likekart的博客里看到一篇介绍Auto BlogRoll插件的文章,就弄了个来试试,挺不错的插件,介绍请看likekart的这篇WordPress友情链接插件:Auto BlogRoll 。
但是在安装中,我在这个博客安装没有问题,在本地环境安装时碰到了问题,安装后提示错误,说要修改文件夹权限为777,连主页都进不去了,只能删除掉插件,才能再次进入博客。
Warning: fopen(E:/APMServ5.2.6/www/htdocs/E:/APMServ5.2.6/www/htdocs/usr/uploads/links.php) [function.fopen]: failed to open stream: Invalid argument in E:\APMServ5.2.6\www\htdocs\wp-content\plugins\auto-blogroll\ab_function.php on line 701
无写入权限,请更改目录权限为0777!E:\APMServ5.2.6\www\htdocs\wp-content\plugins\auto-blogroll
我解决问题后找不到错误提示了,呵呵,上面是网上搜索的错误提示。上面是windows主机的,很奇怪吧?windows主机哪来的777权限问题。其实不只是windows的主机,Linux主机下的我也碰到了,把插件目录设置了777还是同样的问题。其实这个插件好像安装很有问题,上网一搜,一堆说安装错误的。我也在作者的博客留言询问了,不过好像作者很忙吧,没有回复我。
说正题,怎么解决?这里感谢likekart提供的方法:把默认上传路径清空
恩,我这么做了以后,本地两个调试环境,一个windows的,一个Linux的都没有问题了。然后安装成功后再把默认上传路径恢复,测试过这个时候再删除插件重新安装,就没有问题了,估计是默认上传路径的权限问题吧。不清楚,未测试。
- 分页: