当前位置:网站首页 > 更多 > web > 正文

[黑客技术] XYCMS留言板V1.7代码审计

作者:CC下载站 日期:2019-09-23 04:35:35 浏览:1661 分类:web

官网page:http://www.jsxyidc.com/
YCMS留言板是以php+MySQL进行开发的php留言板源码,软件为普通的留言板可广泛应用于企业网站等需要留言板的网站中进行使用。
下载地址:http://down.chinaz.com/soft/37797.htm

[黑客技术] XYCMS留言板V1.7代码审计

1.存储性XSS漏洞

说明:由于对于用户的输入没有过滤导致JS代码运行
标题、内容、用户(姓名)以及IP

[黑客技术] XYCMS留言板V1.7代码审计

2.验证:

A.用户留言:

[黑客技术] XYCMS留言板V1.7代码审计

B.管理员审核:

[黑客技术] XYCMS留言板V1.7代码审计

执行三次alert();

C.审核通过后,即可展示在前台:

http://www.test.com:81/index.php

[黑客技术] XYCMS留言板V1.7代码审计

D.GetIp()函数直接返回

[黑客技术] XYCMS留言板V1.7代码审计

3.总结

在获取IP的时候管理员登陆会写入数据库,貌似可以SQL注入~

当然XSS也是存在的完全没过滤~


 

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

关灯