我最牛插件存在注入漏洞和暴库漏洞

daveyzhang · 发表于 2010-9-3 13:46:17

本帖最后由 daveyzhang 于 2010-9-3 13:49 编辑

希望正式运营的网站注意下, 本人正在研究修补, 完成之后会发布上来.

进一步测试, 还存在跨站攻击漏洞.

daveyzhang · 发表于 2010-9-3 14:01:41

在fgame.php 中,

大概在29行左右(具体行数看自己情况)
查找       $content = trim($_POST['content']); //评论内容
修改为 $content = strip_tags(trim($_POST['content'])); //评论内容

38行
查找    'content' => trim($_POST['content']),
修改为 'content' => strip_tags(trim($_POST['content'])),

92行
查找       $fgid = (!empty($_GET['fgid']) && in_array($_GET['fgid'], $fgids)) ? $_GET['fgid'] : '0';
修改为    $fgid = (!empty($_GET['fgid']) && in_array($_GET['fgid'], $fgids)) ? intval($_GET['fgid']) : '0';

以上为简单应付对策, 还需进一步检测

mxyes · 发表于 2010-9-3 14:03:37

mels · 发表于 2010-9-5 21:29:46

锦猫鼠 · 发表于 2010-9-5 22:40:22

		自动登录	找回密码
密码			立即注册

我最牛插件 存在注入漏洞和暴库漏洞

我最牛插件存在注入漏洞和暴库漏洞