pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 Simple PHP Blog伪造的跨站请求
来源
secunia.com
软件名
Simple PHP Blog 0.x
描述
这可恶意进行伪造的跨站请求攻击
应用程序允许用户通过没有执行任何有效检查的HTTP请求来执行特定操作。这可导致例如删除发表批注的有恶意图片链接的板块和链接,还可诱使一个登陆的管理员浏览批注
成功执行需要在setup.php中的"Tags to Allow in Comments"中切换"[img]"
version 0.5.1中已经确认,其它版本可能也受到影响
解决方案
不要浏览不可信网站或在登录到应用程序时访问批注。在"Tags to Allow in Comments"中不要切换"[img]"。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
