微点交流论坛

标题: OSSIM 跨站脚本攻击和sql注入漏洞 [打印本页]

作者: pioneer 时间: 2008-2-27 10:00 标题: OSSIM 跨站脚本攻击和sql注入漏洞

来源

secunia.com

软件名

OSSIM (Open Source Security Information Management) 0.x

描述

1)传递到session/login.php的"dest"参数在返回到用户前没有被准确过滤，这可导致用户浏览器浏览受影响的网页时执行任意HTML和脚本代码。

2)传递到session/login.php的"dest"参数在用于sql查询前没有被准确过滤，这可导致通过注入任意sql代码来操控sql查询

注意：其它脚本也可能受到类似漏洞的影响

该漏洞在V0.9.9rc5中已经确认，其它版本也可能受到影响

解决方案

过滤使用web代理的恶意字符和字符序列

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn