动网论坛(DVBBS.NET 1.1)prompt.aspx页面存在跨站漏洞

来源:岁月联盟 编辑:荷马史诗 时间:2010-05-15

影响版本:
DVBBS.NET 1.1

漏洞描述:
动网论坛做为动网主要服务产品之一,自2001年投入推广并运营以来,得到了国内外广大互联网用户的广泛好评和支持。做为国内第一的互联网论坛服务品牌,占据了国内论坛服务市场的70%以上的用户,动网论坛服务在一些如电影、下载、网游等热门网站的占有率甚至高达80%以上,是中国论坛服务领域事实上的标准。

因为系统程序对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意的WEB代码。

<*参考
http://www.syue.com/Hacker/Research/14498.html
*>

测试方法:
http://www.syue.com/prompt.aspx?GetPdoUrl=[XSS]

安全建议:
厂商补丁:
动网论坛
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://n.dvbbs.net/

上一篇:BBSGood论坛程序DelShortInFo.asp页面越权漏洞
下一篇:Discuz! 6.x/7.x 全局变量防御绕过漏洞

最近更新

随机推荐