微点交流论坛

标题: Bandersnatch 多个漏洞 [打印本页]

作者: pioneer 时间: 2007-7-28 14:49 标题: Bandersnatch 多个漏洞

来源

secunia.com

软件名

Bandersnatch 0.x

描述

1)该漏洞可产生跨站脚本和SQL注入攻击。SQL询问在使用前，index.php中输入的"date"和"limit"参数没有正确过滤，可通过注入任意SQL代码操纵SQL询问。更多潜在参数受影响。

2)超时会话中保存的资源名在储存前没充分过滤，当浏览恶意日志时，受影响网站可通过与用户的浏览对话注入任意HTML和脚本代码。

注意：

更多潜在Jabber会话组件受影响。
该漏洞已于版本0.4中确认，其他版本也可能已受影响

解决方案

编辑源代码确保输入充分过滤。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn