XSS漏洞:
© / Posted in 知识如海 / September 6, 2009
Auto BlogRoll2.2 XSS漏洞
发布时间: 2009-09-06
严重程度:低
利用方式:XSS攻击
受影响版本:所有版本(2.2经测试存在问题,低于2.2的版本猜测有相同问题但为经测试)
作者: 孤毒老鼠
详细描述:
插件没有对输入的字符串进行关键字过滤,导致可以输入' <>等字符。并且在利用插件本身的小工具和页面输出时也没有做特殊字符过滤。导致可以输入特殊构造的网站名等进行攻击。
插件在管理后台的输出也没用进行特殊字符过滤,在管理员登陆后台管理该插件时也会触发XSS漏洞。
测试代码:申请链接时在网站名输入test<script>alert('xss')</script>
解决方案:在插件输入输出代码前对字符串进行特殊字符过滤
- 分页: