没有对文件的访问做验证,并且其中有一个参数在最后转义了,看了一下用oecms的网站挺多的;此xss用起来也比较方便,直接post数据,前台直接触发,后端也没做csrf处理,这也增大了xss的威力。(没错在乌云偷的)
Ps目前3月3日官方对此漏洞进行了修复
造成xss的的两个原因:
(1)对admincp下的文件访问验证有问题
(2)有一个参数开始过滤了,最后又用stripslashes还原了
问题出现在admincp/frendlink.php文件的action_saveadd()函数
args从_validAdd()函数传入
[AppleScript] 纯文本查看 复制代码 public function action_saveadd() {
$args = $this->_validAdd();
$model = parent::model('friendlink', 'am');
$result = $model->doAdd($args);
unset($model);
if (true === $result) {
$this->log('friendlink_add', '', 1);
XHandle::halt("添加成功", $this->cpfile.'?c=friendlink', 0);
}
else {
$this->log('friendlink_add', '', 0);
XHandle::halt('添加失败', '', 1);
}
}
跟踪_validAdd()函数,传入的参数 'name', 'orders', 'flag', ‘remark’,’catid’在getGpc函数都做了过滤,而url传入了getArgs()函数
getArgs如果isfliter是false的话就会执行XFilter::stripArray(),此函数把转义的都还原了 ,造成了xss漏洞
[AppleScript] 纯文本查看 复制代码 public static function getArgs($value, $default=NULL, $isfliter = true) {
if (!empty($value)) {
if (isset($_GET[$value])) $temp = trim($_GET[$value]);
if (isset($_POST[$value])) $temp = trim($_POST[$value]);
if ($isfliter == true) {
$temp = XFilter::filterStr($temp);
}
else {
$temp = XFilter::stripArray($temp);
}
if (empty($temp) && !empty($default)) {
$temp = $default;
}
return trim($temp);
}
else {
return '';
}
}
[AppleScript] 纯文本查看 复制代码 public static function stripArray(&$_data){
if (is_array($_data)){
foreach ($_data as $_key => $_value){
$_data[$_key] = trim(self::stripArray($_value));
}
return $_data;
}else{
return stripslashes(trim($_data));
}
}
直接向此文件post数据添加frendlink,前台存储xss。
|