Home 跨站漏洞，希望官方重视！

猪蛋儿 · 发表于 2009-3-3 15:57:09

本帖最后由茄子于 2009-3-4 10:53 编辑

UCenter Home 程序存在跨站漏洞。

利用:（./space.php?<script>alert("/XSS/");</script></script>)

用户只要登录 XSS就会触发

猪蛋儿 · 发表于 2009-3-3 22:39:09

C ao ，太受不了，好心发个帖子，居然没有任何人重视。

看样子你们只注重表面上的东西，永远不注重内在的完美。

难怪 SuperHei 找DZ的漏洞那么容易。

hello猪 · 发表于 2009-3-3 23:18:22

帮你“友情重视”一下！

下载UCenter Home个人主题风格！

猪蛋儿 · 发表于 2009-3-4 09:37:42

帮你“友情重视”一下！

明明有漏洞，可是官方不理睬，用程序还得用自己改……

茄子 · 发表于 2009-3-4 10:11:35

本帖最后由茄子于 2009-3-4 10:52 编辑

这个问题我们会在之后的版本修正下。
目前你可以这样修改下

打开 ./source/function_common.php
找到

return 'http://'.$_SERVER['HTTP_HOST'].substr($uri, 0, strrpos($uri, '/')+1);

复制代码

修正为

return shtmlspecialchars('http://'.$_SERVER['HTTP_HOST'].substr($uri, 0, strrpos($uri, '/')+1));

复制代码

猪蛋儿 · 发表于 2009-3-5 21:57:12

5# 茄子

谢谢官方重视本人发的帖子。

猪蛋儿 · 发表于 2009-3-6 10:53:33

这个问题我们会在之后的版本修正下。
目前你可以这样修改下

打开 ./source/function_common.php
找到
return 'http://'.$_SERVER['HTTP_HOST'].substr($uri, 0, strrpos($uri, '/')+1);
修正为
return shtml ...
茄子发表于 2009-3-4 10:11

也不给我贡献奖。。

vipo2008 · 发表于 2009-3-9 17:30:42

路过

yun-hang · 发表于 2009-3-10 15:10:54

((mk06)) 路过...

疯人院 · 发表于 2009-3-12 21:11:38

官方都一天干吗呀

		自动登录	找回密码
密码			立即注册

[已解决] Home 跨站漏洞，希望官方重视！