齐博新闻媒体系统全局反射型XSS漏洞(CNVD-2016-08310)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2016-11-07漏洞描述
齐博新闻媒体系统是齐博软件公司采用PHP语言所开发专为新闻资讯站而推出的一款网站内容管理系统,提供从内容发布、组织、传播、互动和数据挖掘的媒体网站一体化解决方案。 齐博新闻媒体系统全局存在反射型XSS漏洞,允许攻击者利用该漏洞可获取被攻击用户的登录会话。解决建议
1.开发者应该严格按照openid和openkey的校验规则判断openid和openkey是否合法,且判断其它参数的合法性,不合法不返回任何内容。 2. 严格限制URL参数输入值的格式,不能包含不必要的特殊字符( %0d、%0a、%0D 、%0A 等)。 3. 对用户输入的不可信内容进行转码: [a-zA-Z0-9.-_,]以及ASC值大于0x80之外的所有字符转化为\x**这种形式。
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2016-08310 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论