sablog 1.6 多个跨站漏洞 - 中华隐士黑客联盟,全国最大的免费黑客技术培训基地! 免费一切,共享一切!

sablog 1.6 多个跨站漏洞
作者：不详来源：网络发布时间：2008-3-29 9:33:34 发布人：www.hack86.com

sablog 1.6 多个跨站漏洞

Date：2008-03-27
Author：amxku[c.r.s.t]
Version:sablog 1.6

由于过滤不严，存在多个跨站漏洞

PS:
http://www.amxku.net/?viewmode=list&curl=>"><ScRiPt%20%0a%0d>alert(amxku)%3B</ScRiPt>
http://www.amxku.net/?action=index&cid=>"><ScRiPt%20%0a%0d>alert(amxku)%3B</ScRiPt>
http://www.amxku.net/?action=index&setdate=200804&setday=>"><ScRiPt%20%0a%0d>alert(amxku)%3B</ScRiPt>&page=1

临时解决办法：

在global.php中过滤curl，cid，setday等
$modelink = ’’;
if ($action) {
$modelink .= ’&action=’.$action;
}
if ($curl) {
$modelink .= ’&curl=’.htmlspecialchars($curl);
}
if ($cid) {
$modelink .= ’&cid=’.htmlspecialchars($cid);
}
if ($setdate) {
$modelink .= ’&setdate=’.htmlspecialchars($setdate);
}
if ($setday) {
$modelink .= ’&setday=’.htmlspecialchars($setday);
}
if (intval($_GET[’searchid’])) {
$modelink .= ’&searchid=’.htmlspecialchars($_GET[’searchid’]);
}
if (intval($_GET[’userid’])) {
$modelink .= "&userid=".htmlspecialchars($_GET[’userid’]);
}
if ($_GET[’item’]) {
$item = urlencode(addslashes($item));
$modelink .= ’&item=’.$item;
}

黑客软件：	漏洞扫描 \| 木马间谍 \| 加密解密 \| 远程控制 \| 破坏攻击 \| 杀毒软件 \| 防火墙类 \| OICQ专区 \| 黑客必备 \| 常用工具 \| 网吧攻击
文章中心：	最新资讯 \| 黑客技术 \| 电脑基础 \| 菜鸟文摘 \| 网络安全 \| 网络技巧 \| QQ技巧 \| OQ空间代码 \| 免费资源 \| 编程世界 \| 建站技术
素材源码：	论坛相关 \| ASP源码 \| CGI 源码 \| NET 源码 \| PHP 源码 \| 酷站素材 \| 字体素材 \| 图片素材 \| 友情发布 \| 网页模版 \| 建站软件
教程动画：	黑客教程 \| 黑客编程 \| 网站入侵 \| 菜鸟教程 \| 入侵教程 \| 破解教程 \| 电子书籍 \| 网页制作 \| 高级会员 \| 综合教程 \| 本站原创