动网论坛(DVBBS)Show.asp页面过滤不严导致跨站漏洞
2009-06-21 00:35
471 查看
添加时间:2009-05-25
系统编号:WAVDB-01432
影响版本:DVBBS 8.0.0-8.2.0
程序介绍:
动 网论坛做为动网主要服务产品之一,自2001年投入推广并运营以来,得到了国内外广大互联网用户的广泛好评和支持。做为国内第一的互联网论坛服务品牌,占 据了国内论坛服务市场的70%以上的用户,动网论坛服务在一些如电影、下载、网游等热门网站的占有率甚至高达80%以上,是中国论坛服务领域事实上的标 准。
漏洞分析:
文件show.asp中:
filetype=Request("filetype") //第75行
username=Request("username")
……
TempStr = Replace(TempStr,"{$username}",UserName) //第244行
程序对于输出变量filetype和username过滤导致xss漏洞的产生。
漏洞利用:http://www.target.com/show.asp?filetype=xxx&username=nnn<iframe%20src=http://www.baidu.com></iframe>
解决方案:
厂商补丁
DVBBS
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dvbbs.net
信息来源:
<*来源: Bug.Center.Team http://www.cnbct.org
链接: http://wavdb.com/vuln/1437
*>
相关文章推荐
- asp.net禁止页面刷新导致重复提交
- 动易网站管理系统vote.asp页面存在SQL注入漏洞
- ASP.NET防止客户端页面刷新导致多次提交的方法
- 解决ASP(图像)上传漏洞的方法http://www.cnbruce.com/blog/showlog.asp?cat_id=26&log_id=942
- asp.net页面刷新导致重复提交
- 动易网站管理系统vote.asp页面存在SQL注入漏洞
- asp.net页面过滤所有换行符和多余空格
- 用一个最简单方法解决asp.net页面刷新导致数据的重复提交
- [分享]QQ对字库没有严格过滤导致你崩溃漏洞
- ASP.NET Post页面导致验证视图状态MAC失败问题
- Asp.net项目因Session阻塞导致页面打开速度变慢
- HTML代码混乱导致ASP.NET页面显示异常
- ASP.NET如何跨站抓取页面
- 关于ASP.NET页面里框架导致UpdatePanel失效的问题
- asp 网站 XSS跨站脚本漏洞如何修复
- document.activeElement 过滤选择文件弹窗导致的页面失焦
- [原创]动网论坛短消息模块过滤不严格的注入漏洞
- 2007 10.30动易网站管理系统vote.asp页面存在SQL注入漏洞
- ECSHOP商城系统过滤不严导致SQL注入漏洞
- HTML代码混乱导致ASP.NET页面显示异常