Chinaunix首页 | 论坛 | 博客

zhanglili123321

首页 |  博文目录 |  关于我

zhanglili123321

  • 博客访问: 369886
  • 博文数量: 73
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 2469
  • 用 户 组: 普通用户
  • 注册时间: 2013-07-16 23:51
个人简介

活泼开朗是我的特性。

文章分类

全部博文(73)

文章存档

2014年(27)

2013年(46)

我的朋友
最近访客
推荐博文
相关博文
优酷SWF未清理参数,参数注入导致恶意弹窗

分类: 数据库开发技术

2013-07-17 00:07:33

 此FLash接受imglogo参数作为图片地址
 
 
 
 

 
 
未检查该参数的有效性即加载该图片
 
 
 
因此,当imglogo参数指向一个恶意的flash时(比如:乱弹窗的swf),恶意flash也被正常加载,最终地址类似如下:
?VideoIDS=XMzU2MDk0MDQ0&winType=BDskin&embedid=MTI1LjExOS4xNTMuNDQCODkwMjM1MTECAg%3D%3D&wd=&partnerid=XOTcy&&imglogo=




 
 
修复方案:
 
清理所有传入参数,对所有参数执行初始化操作。
 
阅读(1560) | 评论(0) | 转发(0) |
0

上一篇:凤凰网财经分站注入,可获取数据库内容

下一篇:巧用NGINX日志格式来分析网站访问速度与瓶颈

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6