微点交流论坛

标题: TorrentTrader 脚本不安全 [打印本页]

作者: pioneer 时间: 2007-9-11 17:15 标题: TorrentTrader 脚本不安全

来源

secunia.com

软件名

TorrentTrader 1.x

描述

这可被恶意用来进行脚本的注入攻击account_settings.php 中输入的"avatar"和"title"表格参数在存储前没有充分过滤，这些可在account-details.php中被恶意用户设置为被浏览时在管理员用户浏览器会话中受影响的网址文本导致可以插入任意HTML和脚本代码

解决方案

v1.07中已经确认，其它版本可能也受到影响编辑源代码确保充分过滤

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn