找回密码
 注册创意安天

Redmine Title参数HTML注入漏洞

[复制链接]
发表于 2010-1-4 20:24 | 显示全部楼层 |阅读模式
受影响系统:



Redmine Redmine <= 0.8.7
描述:



Redmine是开源的项目管理web应用。



Redmine没有正确地定义页面字符编码,将<title>放到了<meta>之前。攻击者可以创建标题编码为UTF-7 JavaScript的页面,当使用启用了自动选择功能的Internet Explorer查看该页面就会执行内嵌的代码。


测试方法:


以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!






ADw-script AD4-alert('XSS'); ADw-/script AD4-


建议:


厂商补丁:


Redmine
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:


http://www.redmine.org/
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-23 15:05

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表