Virtual Programming VP-ASP Shopping Cart Shop$DB.ASP跨站脚本漏洞-一一网

Virtual Programming VP-ASP Shopping Cart Shop$DB.ASP跨站脚本漏洞

4年前更新

1700

漏洞信息详情

Virtual Programming VP-ASP Shopping Cart Shop$DB.ASP跨站脚本漏洞

CNNVD编号：CNNVD-200412-1047

危害等级：中危
CVE编号：
CVE-2004-2411
漏洞类型：

访问验证错误
发布时间：

2004-06-12
威胁类型：

远程
更新时间：

2006-04-07
厂商：

virtual_programming
漏洞来源：
Thomas Ryan※ tommy…

漏洞简介

Virtual Programming VP-ASP是一款商业性质的电子购物应用系统，由ASP脚本编写。
Virtual Programming VP-ASP的登录脚本对用户提交的输入没有很好的过滤，远程攻击者可以利用这个漏洞进行跨站脚本攻击，获得敏感信息。
问题存在于Shop$DB.ASP脚本上，对用户提交的恶意HTML或Javascript脚本数据缺少过滤，当其他用户查看恶意链接时，恶意代码可在用户浏览器上执行，导致基于COOKIE的信息泄露。

漏洞公告

厂商补丁：
Virtual Programming
——————-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

编辑shop$db.asp文件，在如下代码段前增加’rc=instr(lmsg, “=”)’：

Sub CleanseMessage (msg, rc)

dim lmsg, pos

lmsg=lcase(msg)

pos=instr(lmsg, ”

补丁

暂无

“)
}
})
}

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐