新云XSS跨站漏洞公布了|上海网站建设|网站建设

021-33902551
021-33902550

  业务咨询在线交谈 >
      业务咨询在线交谈 >
      业务咨询在线交谈 >

--主机搜索热门词------------------------------

上海网站空间虚拟主机
 上海虚拟主机服务器
 我要买服务器买空间
 域名空间申请买主机
 我需要买空间上海空间
 网站建设报价网站空间
 网站制作报价国外空间
 网站空间报价美国主机
 虚拟主机价格国外主机
 做网站送主机卖空间

--域名搜索热门词------------------------------

上海域名注册域名注册
 上海申请域名域名申请
 域名空间邮箱英文域名
 企业域名注册中文域名
 国际顶级域名域名
 国内顶级域名国外域名
 手机域名注册顶级域名
 二级域名注册注册域名
 行政域名申请 cn域名
 域名注册报价 com域名

新云XSS跨站漏洞公布了详细信息

来源:上海网站建设 |发表时间:2008-2-6 |关键词:网站建设

忽然看到网上暴出说新云出现新漏洞了。一看原来是XSS漏洞,并且公布出来了,文章的名字命的看起来制作网站这个漏洞也挺高危的:"新云又出跨站漏洞-通杀所有版本_众多黑客站被检测"。其跨站代码大致如下门户建设:showerr.asp?action=error&message=跨站代码,看过这个之后,我感觉作者似乎小题大作了,这类的跨站也只能是自娱自乐而已。应该跨站代码是你自己构造的,而普通用户谁会去构造这样的代码自娱呢?

不过话说回来,新云系统确实存在几个跨点,今天待我一一列出来,很久上海以前就发现的,今天列出来！

1.搜索文建设网站件search.asp跨站漏洞..

效果演示如下:

2./support/ab制作门户out.asp跨站漏洞..

这个或许还有点用处,因为只要代码写进去,比如写一个的挂马代码, 凡是访问该页面的用户都将浏览带毒网页。<STRONG><A HREF="/website/index.aspx">上海网站建设</A></STRONG>只可惜的是,这个文件就是新云系统里的"关于本站"的那个页,而内容必须在进行后台后在后台填写的.这样利用价值又大打折扣。而且,又能有几个用户会闲着没事看你网站上的"关于本站"那一页.. </P> <P>3./support/help.asp跨站漏洞.. </P> <P>和第二个漏洞同样的效果，同样的利用方法.. </P> <P>4.support/advertise.asp跨站</P> <P>同样和第二个漏洞同样的效果，同样的利用方法.. </P> <P>5.support\declare.asp跨站..\ </P> <P>同样和第二个漏洞同样的效果，同样的利用方法.. </P> <P>当然search.asp可删不得,删了大家就没办法搜索资源了，不过那个漏洞几乎可以忽略不计, 因为它只能输入<iframe>自娱自乐一下,挂马代码插不进去的，搜索框有20个字节的限制大致目前我就发现了这么几处,其实好好看看,利用价值都不大.不过作为站长的我们也不可忽视.如果您是新云的系统,建议把这上面那几个页面都改成静态网页得了,也为您的站点的seo作点贡献了,删掉原来的那几个漏洞文件最直接。</P> <br /> </div> </div> </div> </div> </div> <div id="foot"> <div id="foot1"> <li><a href="../../aboutUs/index.aspx">关于我们</a> / <a href="http://www.webzbl.com/sitemap.html">网站地图</a> / <a href="../../paymode.aspx">支付方式</a> / <a href="../../hr/index.aspx">招聘英才</a> / <a href="../../ydgn/webmake.aspx">意见反馈</a> / <a href="../../contactus.aspx">联系我们</a> / <a href="../../aboutUs/indexen.aspx">About Us</a> / </li> </div> <div id="foot2"> Copyright ? 2008上海紫博蓝网络科技有限公司所有权利保留  <br /> 联系电话：021- 33902551 33902550 地址：上海市浦东新区振兴东路15弄1号1302室  常年法律顾问：李洪华律师<br /> 技术维护：<a title="上海网站建设" href="http://www.webzbl.com/">上海网站建设</a>|<a title="门户网站制作" href="http://www.webzbl.com/">门户网站制作</a>|<a title="SEO网站优化" href="http://www.webzbl.com/">SEO网站优化</a>|<script src='http://s21.cnzz.com/stat.php?id=684367&web_id=684367' language='JavaScript' charset='gb2312'></script> <script type="text/javascript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/javascript"> var pageTracker = _gat._getTracker("UA-1447472-2"); pageTracker._initData(); pageTracker._trackPageview(); </script> </div> </div> <div> <input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" value="/wEWCQKLwf6dCQKMpKrBAQKX6Ii7DgKUr6C4DQKaxffuAQLgjuSiCgKQ4rHYBALVi6LuCAL+nPLhDmK6oai5DW3lWocSszIN8LP0Z85d" /> </div> </body> </html>