[转载]Ourplus网站流量统计分析系统跨站脚本攻击漏洞

信息来源：Bug.Center.Team-漏洞预警中心小组

前言:Ourplus Counter是以PHP+MYSQL为架构的网站流量统计分析系统,因其使用以及功能强大,所以受到很多网站管理员的欢迎.(其他的介绍我也说不出来了,因为他们自己都没有帮自己卖广告!*_*)

漏洞发现:H4K_B4N[B.C.T]
发现组织:[Bug.Center.Team-漏洞预警中心小组]
漏洞程序:Ourplus Counter
影响版本:所有版本

漏洞详述:
当恶意用户针对统计系统提交含有恶意代码的地址时,因统计系统并没有做任何过滤,导致跨站脚本攻击.特别是"访问明细"处因其显示访问地址长度没有做好限制,当恶意用户同时提交多个恶意语句时,会导致连锁性效果.

漏洞页面:
http://www.target.com/stat/page.php
http://www.target.com/stat/show_today.php
多个参数页面存在跨站脚本攻击!

因为无法通知官方的原因,所以暂无补丁!该漏洞与当初"黑客手册"所发的"国内大部分统计系统存在严重漏洞"相同!

测试程序: Stat_Exp