List Site Pro用户数据库定界符注入漏洞

漏洞信息详情

List Site Pro用户数据库定界符注入漏洞

• CNNVD编号：CNNVD-200312-325
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-1350
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-01-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-10-17
  
• 厂        商：
  
  list_site_pro
• 漏洞来源：
  StatiX Statix※ mai…

List Site PRO是一款站点排名系统，可以对各个成员站点进行统计，并根据点击结果进行排名。
List Site PRO对用户提交的数据缺少正确过滤，远程攻击者可以利用这个漏洞注入定界符，更改帐户信息。
通过注册和在部分字段注入\’\’|\’\’符来控制其他用户帐户信息，List Site Pro使用\’\’|\’\’来定界数据库，但是没有对输入数据进行定界符检查，因此用户如果输入如下内容：
username：username
email：email@emial.com
url：www.url.com
bannerurl：www.site.com/banner.gif ||password|1036360992|60|468
banner height：68
banner width：460
password：pass
帐户1036360992的密码将更改成\’\’password\’\’值，由于用户ID是显示在topsite的链接中的，所以攻击者可以以任意帐户登录，更改链接指向等恶意操作。

厂商补丁：
List Site Pro
————-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.listsitepro.com/” target=”_blank”>
http://www.listsitepro.com/

来源: XF
名称: listsitepro-account-hijacking(11156)
链接:http://xforce.iss.net/xforce/xfdb/11156

来源: BID
名称: 6685
链接:http://www.securityfocus.com/bid/6685

来源: BUGTRAQ
名称: 20030124 List Site Pro v2 user account Hijacking vulnerablity
链接:http://www.securityfocus.com/archive/1/308300

来源: SREASON
名称: 3230
链接:http://securityreason.com/securityalert/3230

来源：NSFOCUS
名称：4290
链接：http://www.nsfocus.net/vulndb/4290