发布日期：2002-04-09
更新日期：2002-04-16

受影响系统：

Powerboards Powerboards 2.2 b

描述：

---

BUGTRAQ  ID: 4472

Powerboards是一款由PHP语言编写的基于WEB的BBS公告板系统，可使用在Linux、Unix、Windows操作系统平台下。

Powerboards中的error.php对用户的输入缺少正确的检查，可导致攻击者进行跨站脚本执行攻击。

一些版本的Powerboards中的错误处理页面error.php没有正确充分处理用户提供的HTML内容，攻击者可以构建包含恶意脚本代码的连接到此error.php页面，当浏览者浏览此链接的时候，包含在链接中的恶意脚本代码就会在浏览用户的浏览器上执行，可造成基于Cookie认证的敏感信息泄露等。

<*来源：frog frog （leseulfrog@hotmail.com）
  
  链接：http://www.ifrance.com/kitetoua/tuto/powerboards.txt
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

frog frog （leseulfrog@hotmail.com）提供了如下测试方法：

建立如下连接：

/error.php?e=<script>[BADSCRIPT]</script> .

用户浏览此连接时就可以导致恶意脚本代码在用户浏览器上执行。



建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Powerboards
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://powerboards.sourceforge.net/index.html



浏览次数：4646
严重程度：0（网友投票）