找回密码
 注册创意安天

MyBB MYPS插件username参数跨站脚本执行漏洞

[复制链接]
发表于 2010-1-4 20:31 | 显示全部楼层 |阅读模式
受影响系统:



MyBB MyBB 1.4.10
描述:



MyBB是一款流行的Web论坛程序。



如果将action设置为donate的话,MyBB的MYPS插件没有正确地过滤提交给myps.php页面的username参数便返回给了用户,远程攻击者可以通过提交恶意请求执行跨站脚本攻击,导致在用户浏览器会话中执行任意HTML和脚本代码。




测试方法:



以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!








http://server/myps.php?action=donate
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-23 03:02

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表