关键漏洞信息 漏洞概述 漏洞版本: fx-APP Version 0.0.8.1 发布日期: 2007.02.17 风险级别: Low CVE编号: CVE-2006-7022 CWE编号: N/A 漏洞详情 影响文件 search input box index.cgi input boxes on your profile adding a menu item 漏洞描述 1. 任意页面加载 - 通过Tools模块的URL,可以加载任意页面,类似于内容包装器。 - 恶意用户可以加载恶意脚本,例如通过以下URL: 2. XSS漏洞 - 当输入 标签时,会被转换为 且JavaScript会被过滤。 - 通过十六进制值的JavaScript绕过过滤,例如在搜索框中输入: 3. Profile输入框XSS漏洞 - URL、网站、评论、签名等输入框过滤不严,可创建XSS攻击。 - 绕过滤方法:将 转换为十进制等值,并添加一些关闭和打开标签。 - 例如在URL、网站、评论或签名框中输入: - 效果:在编辑个人资料时,页面将再次弹出提示。 4. 添加菜单项XSS漏洞 - 用户输入未被正确过滤,在用户登录并添加菜单项时: 影响 任意页面加载可能导致恶意脚本执行。 XSS漏洞可能导致用户数据泄露和恶意操作执行。 其他信息 发现者: luuy 官方网站: