首页 > 叨叨念念

[Bug]emlog使用大曾模版的请注意跨站脚本攻击漏洞

发布时间:2013-04-20 11:34:59 来源:星知苑 作者:星之宇

[高危漏洞]emlog使用大曾模版的有跨站脚本攻击漏洞Bug,具体多少模版有这个漏洞还不知道。

今天看到大曾模版的log_list.php中有一句

<?php }elseif($params[1]=='keyword'){ ?>
            关键词 <b><?php echo urldecode($params[2]);?></b> 的搜索结果

这个是直接从用户输入的值输出的,如果用户恶意输入很容易造成跨站脚本攻击。

如果没有修改用户在使用大曾模版的emlog博客中,进行搜索[break]

888<img src=1 onerror=alert('星知苑')>

就会造成跨站脚本攻击。

或者直接访问http://域名/index.php?keyword=888<img src=1 onerror=alert('星知苑')>

 

修改造成如图显示:

点击查看原图

 

临时解决方案:

只要用函数htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

修改后的代码:

<?php }elseif($params[1]=='keyword'){ ?>
            关键词 <b><?php echo htmlspecialchars(urldecode($params[2]));?></b> 的搜索结果

相关合集

  • 使命召唤手游攻略大全
使命召唤手游攻略大全

简介:非常火爆的一款枪战动作游戏,主机游戏大作打造,作为手游超多的情怀玩家们的喜爱,有很多的模式娱乐对战竞技,沉浸在那种炮火连天子弹穿梭的世界,这里是小编用了大量的时间研究摸索的一些对新手有帮助的以及很多的游戏操作技巧等攻略分享给你,让你可以更加的得心应手快速提升自己的技术。