tongmush 发表于 2005 年 6 月 15 日 20:52:41

PW最新漏洞*(修正首页输入特殊字有可能在客戶端运行代码以及导致会员列表出错)

修改一下profile.htm和showuserdb.htm和member.php, 加个引号上去就解決~~~

member.php
查找:
$member['site'] && $member['site']="<a href=$member target=_blank>view website</a>";
替換为:
$member['site'] && $member['site']="<a href='$member' target=_blank>view website</a>";


showuserdb.htm
查找
<td class='f_two'><a href=$userdb>$userdb</a></td></tr>
替換为:
<td class='f_two'><a href='$userdb'>$userdb</a></td></tr>

查找
<input type=text size=50 maxlength=75 name=prohomepage value=$userdb>
替換为:
<input type=text size=50 maxlength=75 name=prohomepage value='$userdb'>

xchange 发表于 2005 年 6 月 15 日 20:54:06

很好,PW又出漏洞了

笑傲中国 发表于 2005 年 6 月 15 日 20:57:53

流行了,就容易被人研究,利用

大傻瓜不傻 发表于 2005 年 6 月 15 日 20:59:23

呵呵
官方前两天公布的吗?

cloud 发表于 2005 年 6 月 15 日 21:00:09

早已抛弃phpwind转投discuz

tongmush 发表于 2005 年 6 月 15 日 21:00:57

今天刚公布的

zxb003322 发表于 2005 年 6 月 15 日 21:27:03

下面是引用xchange于2005-06-15 20:54发表的:
很好,PW又出漏洞了


nuet 发表于 2005 年 6 月 15 日 21:31:47

我没有啊
页: [1]
查看完整版本: PW最新漏洞*(修正首页输入特殊字有可能在客戶端运行代码以及导致会员列表出错)