首页
 导航
语文
作文
 手机
客服中心
投稿赚钱
免费注册
首页
当前位置:查字典教程网 >网络安全 >漏洞分析 >PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞
PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞
摘要:影响版本:PJBlog3.0.6.170程序介绍:PJBlog一套开源免费的中文个人博客系统程序,采用asp+Access的技术,具有相当高...

影响版本:PJBlog 3.0.6.170

程序介绍:

PJBlog一套开源免费的中文个人博客系统程序,采用asp+Access的技术,具有相当高的运作效能以及更新率,也支持目前Blog所使用的新技术。

漏洞分析:

在文件Action.asp中:

elseif request("action")="type1" then //第23行

dim mainurl,main,mainstr

mainurl=request("mainurl")

main=trim(checkstr(request("main")))

response.clear()

mainstr=""

If Len(memName)>0 Then

mainstr=mainstr&"<img src=""images/download.gif"" alt=""下载文件"" style=""margin:0px 2px -4px 0px""/> <a href="""&mainurl&""" target=""_blank"">"&main&"</a>"程序对于输出变量mainurl和main没有过滤导致xss漏洞的产生。在同文件42行代码类似

漏洞利用:

http://www.target.com/Action.asp?action=type1&mainurl=xxx">[XSS]

解决方案:

厂商补丁:

PJblog

-------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://bbs.pjhome.net/thread-52214-1-1.html

【PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞】相关文章:

cyask知道系统collect.php页面存在越权漏洞

hzhost虚拟主机系统致命漏洞

BBSXP论坛程序New.asp页面过滤不严导致SQL注入漏洞

Borland StarTeam 含多个远程溢出及拒绝服务漏洞

Mambo index.php文件多个跨站脚本执行漏洞

恒浪IMS整合系统V4.1 多文件存在SQL注入漏洞

Google的博客blogspot.com窃取cookie漏洞

网站受到XSS跨站点脚本攻击的分析及解决方法

TIBCO多个产品远程溢出漏洞

McAfee ePO 系统安全管理解决方案存在漏洞

上一篇: PJBlog个人博客系统cls_logAction.asp文件存在注入漏洞
相关阅读
更多>>
网友关注
更多>>
网友最新关注视频
更多>>
精品推荐
分类导航
网络安全子分类
最新漏洞分析学习
热门漏洞分析学习