花香盈路Hxcms Ver6.6版 Cookies欺骗涵洞

作者：佚名文章来源：不详点击数：更新时间：2007-1-25 11:45:08

花香盈路(俺测试的是Hxcms Ver6.6版)和以前的动网一样,存在cookies欺骗漏洞,
使得我们可以修改任意前台用户的资料.
好像旧的版本没有这个漏洞吧,呵,我没试过,不知道.

编辑cookies内容,将uid改成你想要的,我随便填个,确定保存,然后关掉浏览器,再打开.

另外他的user_data.asp文件也没有对用户的ID进行过滤,
userid=Request.Cookies("HX_USER")("uid")
只是提取cookies中的id

使得我们在cookies欺骗之后还能修改用户的资料.......

【转自世纪安全网 http://www.21safe.com】

文章录入：admin 责任编辑：admin

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

没有相关文章

\| 设为首页 \| 加入收藏 \| 联系站长 \| 友情链接 \| 版权申明 \|
Copyright © 2006-2008　www.anquan365.com　安全365 建议使用1024*768分辨率及第三方浏览器对本站进行浏览