GaRY's Blog

Beginning is always beautiful

Pligg XSS

说个很没水平的漏洞.
最近做项目,客户说他的Pligg常常被spam.结果去后台删除comments的时候被xss了.而Pligg是我刚升级到的最新版本9.9.5
检查了一下story.php和libs/comment.php,发现难怪如此.
comment虽然提示是html disable的.但是入数据库前根本除了escape一下根本未作任何过滤..太不设防了..赶紧加了点过滤,不过相信问题还是有不少的.
虽然Pligg是个常用的open source Digg系统,但是居然这么高版本了还对安全如此不负责任.report到官方论坛,一个礼拜了也没人理.

posted on 2008-09-29 23:40 wofeiwo 阅读(4127) 评论(0)  编辑 收藏 引用 网摘 所属分类: PHP security


只有注册用户登录后才能发表评论。
网站导航:

导航

<2008年9月>
31123456
78910111213
14151617181920
21222324252627
2829301234
567891011

统计

留言簿(10)

随笔分类(90)

随笔档案(61)

搜索

最新随笔

最新评论