您现在的位置是:网站首页> 编程资料编程资料
PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞_漏洞分析_网络安全_
2023-05-24
314人已围观
简介 PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞_漏洞分析_网络安全_
影响版本:PJBlog 3.0.6.170
程序介绍:
PJBlog一套开源免费的中文个人博客系统程序,采用asp+Access的技术,具有相当高的运作效能以及更新率,也支持目前Blog所使用的新技术。
漏洞分析:
在文件Action.asp中:
elseif request("action")="type1" then //第23行
dim mainurl,main,mainstr
mainurl=request("mainurl")
main=trim(checkstr(request("main")))
response.clear()
mainstr=""
If Len(memName)>0 Then
mainstr=mainstr&"
漏洞利用:
http://www.target.com/Action.asp?action=type1&mainurl=xxx">[XSS]
解决方案:
厂商补丁:
PJblog
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://bbs.pjhome.net/thread-52214-1-1.html
相关内容
- PJBlog个人博客系统cls_logAction.asp文件存在注入漏洞_漏洞分析_网络安全_
- discuz获取任意管理员密码漏洞利用工具vbs版_漏洞分析_网络安全_
- JSP 修改文件时间的WEBSHELL_漏洞分析_网络安全_
- Ewebeditor2.8.0最终版删除任意文件漏洞分析与解决方法_漏洞分析_网络安全_
- 利用XSS渗透DISCUZ 6.1.0实战_漏洞分析_网络安全_
- 浅析 LxBlog V6 变量未初始化漏洞_漏洞分析_网络安全_
- ECShop 注射漏洞分析_漏洞分析_网络安全_
- Discuz! wap功能模块编码的注射漏洞_漏洞分析_网络安全_
- 战略战争游戏DropTeam多个远程安全漏洞 _漏洞分析_网络安全_
- Nagios插件超长位置头远程缓冲区溢出漏洞 _漏洞分析_网络安全_
