手机游戏
经典单机
角色扮演
休闲益智
动作冒险
射击枪战
赛车竞速
模拟经营
解密闯关
策略战争
手机软件
时尚购物
体育运动
资讯阅读
教育学习
摄影摄像
生活服务
效率办公
聊天社交
视频盒子
其它软件
新闻资讯
游戏攻略
软件教程
游戏问答
软件资讯
软件技术
叨叨念念
网站技术
技术问答
软件教程
资源资料
原创作品
代码学习
网页设计
网络技术
合集
合集
游戏合集
软件合集
资讯合集
视频合集
首页 > 叨叨念念 > 叨叨念念

[Bug]emlog使用大曾模版的请注意跨站脚本攻击漏洞

作者:星知苑 时间:2013-04-20 11:34:59

[高危漏洞]emlog使用大曾模版的有跨站脚本攻击漏洞Bug,具体多少模版有这个漏洞还不知道。

今天看到大曾模版的log_list.php中有一句

<?php }elseif($params[1]=='keyword'){ ?>
            关键词 <b><?php echo urldecode($params[2]);?></b> 的搜索结果

这个是直接从用户输入的值输出的,如果用户恶意输入很容易造成跨站脚本攻击。

如果没有修改用户在使用大曾模版的emlog博客中,进行搜索[break]

888<img src=1 onerror=alert('星知苑')>

就会造成跨站脚本攻击。

或者直接访问http://域名/index.php?keyword=888<img src=1 onerror=alert('星知苑')>

 

修改造成如图显示:

点击查看原图

 

临时解决方案:

只要用函数htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

修改后的代码:

<?php }elseif($params[1]=='keyword'){ ?>
            关键词 <b><?php echo htmlspecialchars(urldecode($params[2]));?></b> 的搜索结果

良心推荐

培养孩子的教育软件有哪些
  • 掌门优课app下载学生版
  • 小猿口算新版本
  • 猿题库app下载安装
  • 小猿搜题app免费下载
  • 流利说英语破解版
  • 熊猫识字全课程免费版
孩子的未来都是现在很多家长的关注,但是有时候没有好的工具来帮助你进行对孩子的教育培养是完全没有用的,所以用学会利用手上的工具拿起手机就可以轻松的跟孩子互动,或者是直接辅导孩子的学习等等,小编整理目前最好也是评价相当不错的一些教育类的软件推荐。

相关资讯