Discuz7.X爆注册验证码提取XSS跨站漏洞 金山、卡巴等大型论坛也无一避免
2010-03-16 12:00
330 查看
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报:
2010年3月16日,凌晨接到线报说 Discuz!7.0-7.2出现注册验证码提取XSS跨站漏洞,经过有关测试证实存在。
随机点了下跟本站友情连接的站点,发现都存在这个问题。XSS跨站漏洞,其攻击手段不仅仅在于COOKIE信息获取、欺骗用户执行恶意链接。XSS跨站漏洞还可以被持久性蠕虫攻击、XSS的添加删除用户,XSS对javascript函数的劫持等等利用,希望广大站长加强防御。
截止目前,DZ官方还没有发布补丁,用户可以通过关闭注册验证码来暂时性解决这个问题,等待官方补丁。或者是在论坛开启漫游,在php关闭gpc功能。
本文出自 “木马屠夫” 博客,请务必保留此出处http://kingzoo.blog.51cto.com/246280/284253
2010年3月16日,凌晨接到线报说 Discuz!7.0-7.2出现注册验证码提取XSS跨站漏洞,经过有关测试证实存在。
随机点了下跟本站友情连接的站点,发现都存在这个问题。XSS跨站漏洞,其攻击手段不仅仅在于COOKIE信息获取、欺骗用户执行恶意链接。XSS跨站漏洞还可以被持久性蠕虫攻击、XSS的添加删除用户,XSS对javascript函数的劫持等等利用,希望广大站长加强防御。
截止目前,DZ官方还没有发布补丁,用户可以通过关闭注册验证码来暂时性解决这个问题,等待官方补丁。或者是在论坛开启漫游,在php关闭gpc功能。
本文出自 “木马屠夫” 博客,请务必保留此出处http://kingzoo.blog.51cto.com/246280/284253
相关文章推荐
- 百度多处XSS跨站漏洞续篇
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- XSS跨站漏洞原理
- Struts1.x 跨站脚本(XSS)漏洞的解决
- asp 网站 XSS跨站脚本漏洞如何修复
- XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击
- 针对XSS跨站脚本漏洞 javascript 示例
- Struts1.x 跨站脚本(XSS)漏洞的解决
- LB论坛(所有版本)跨站脚本漏洞
- XSS跨站漏洞入门指南
- CSDN论坛的跨站漏洞
- 下载站系统Simple Down v5.5.1 xss跨站漏洞分析
- 一个搜索引擎中的反射XSS 预防和防御跨站漏洞 Web安全展望
- 使用PHP转义函数:避免XSS漏洞
- 注册论坛时提示“您输入的验证码不正确,无法提交,请返回修改。”
- XSS(跨站漏洞)挖掘
- PHPWind论坛5.3版postupload.php附件文件名跨站脚本漏洞(XSS)
- JavaScript学习笔记-跨站脚本(Cross-site scripting,CSS,XSS)漏洞
- 跨站点脚本(xss)解析(一)反射型xss漏洞
- 小心XSS 跨站脚本漏洞已是web漏洞王