漏洞說明: php是一款被廣泛使用的程式語言,可以被巢狀在html裡用做web程式開發。phpinfo()是用來顯示當前php環境的乙個函式,許多站點和程式都會將phpinfo放在自己的站點上或者在程式裡顯示,但是phpinfo裡存在一些安全問題,導致精心構造資料就可以產生乙個跨站指令碼漏洞,可以被用來進行***。
漏洞成因: phpinfo頁面對輸入的引數都做了詳細的過濾,但是沒有對輸出的進行charset的指定,而在一些瀏覽器裡如ie7裡,你可以讓它自動選擇編碼或者通過乙個iframe頁面給它指定編碼,這樣就可以饒過phpinfo的過濾而產生乙個跨站指令碼漏洞。
[url]
漏洞利用: 利用**如下:
[url]
(document.domain);+adw-/script+ad4-=1">
以上**在ie7+php 5.2.6測試成功。phpinfo頁面的xss甚至比其他頁面更加危險,因為如果有phpinfo的存在,惡意***者可以利用phpinfo的輸出bypass如httponly和一些基礎認證。
漏洞影響: 影響所有版本的php和瀏覽器ie7
漏洞修補: 建議暫時刪除站點的phpinfo頁面避免被人利用。
5 跨站指令碼漏洞(XSS)
比如 狗幣 門羅幣的js源 如果你中招了前端js挖礦的xss攻擊,網頁瞬間就卡了,cpu佔用率100 吧。相當的噁心,他也不打你就是用你機器跑演算法。占用你的效能來生錢。將惡意的js 插入到站點的某個頁面當中,等待使用者來訪問。就是跨越站點作用於使用者。跨站指令碼漏洞常見型別 dom是前端的介面,使...
Mahara跨站指令碼和跨站請求偽造漏洞及修復
影響版本 mahara mahara 1.3.3 mahara mahara 1.2.5 mahara mahara 1.2.4 mahara mahara 1.2.3 mahara mahara 1.3.2 mahara mahara 1.3.1 mahara mahara 1.3.0 mahar...
PHP imdb類多個跨站指令碼漏洞
漏洞版本 php imdb classes 2 2.1.5 漏洞描述 bugtraq id 64542 php是一種html內嵌式的語言。php imdb類2 2.1.5及其他版本在實現上存在多個跨站指令碼漏洞,攻擊者可利用這些漏洞在受影響站點使用者瀏覽器中執行任意指令碼 參考 安全建議 廠商補丁 ...