·	没有路由密码权限时的鸽子	08-23	·	关于工作组环境下对单独用	11-28
·	U盘安装光盘版WINXP.ISO的	11-28	·	使用System Center部Win 2	11-28
·	另类技巧：使用DOS收发MAI	11-28	·	两种制作系统快速启动的方	11-28
·	渗透本地网通主站	11-26	·	对某软件公司的一次安全检	11-26
·	注入MSSQL 2005的工具- JC	11-26	·	攻防实战步步渗透网站获得	11-25
·	登录服务器失败，Win2008自	11-25	·	激发潜能逼出Vista防火墙	11-25
·	xKungfoo上的网马猥亵技巧	11-22	·	系统自带不起眼但又很强的	11-22
·	IP和MAC捆绑的破解	11-21	·	揭秘Windows系统的四个后门	11-21
·	Win2008网络访问保护把关	11-21	·	玩转Win2008系统命令秀出网	11-20
·	Windows XP系统的五大变形	11-20	·	恢复系统的闪存也能随便借	11-20
·	Web安全测试之跨站请求伪造	11-20	·	利用跨站脚本攻击(XSS)摧毁	11-20
·	对韩国某CMS的一次安全检测	11-20	·	挖掘Cookies背后安全隐患	11-20
·	Restful风格WEB架构需要注	11-20	·	教你玩转Windows图标	11-19
·	巧设组策略确保Vista系统	11-19	·	将Vista/XP双系统下的共享	11-18

[推荐]TikiWiki tiki-remind_password.php跨站脚本漏洞

热荐 ★★★★★

TikiWiki tiki-remind_password.php跨站脚本漏洞

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-8-30 9:28:32

受影响系统：
TikiWiki Project TikiWiki 1.9.7

描述：
TikiWiki是一款网站内容管理系统，基于PHP+ADOdb+Smarty等技术构建。

TikiWiki在处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。

如果在TikiWiki中将remind设置成为send me my password的话，tiki-remind_password.php文件就会无法正确地验证对username参数的输入。远程攻击者可以通过向有漏洞的站点提交恶意请求执行跨站脚本攻击，导致在用户浏览器会话中执行任意HTML和脚本代码。

厂商补丁：
TikiWiki Project
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://tikiwiki.org/tiki-index.ph

新闻录入：liult 责任编辑：liult

上一篇新闻： HP-UX get_system_info的工具非授权更改配置漏洞

下一篇新闻： Motorola Timbuktu Pro有多个远程缓冲区溢出漏洞

【字体：小大】

最新的跨浏览器攻击漏洞防御措施	11-28
邮件信息保密需要重视，邮件内容	11-28
银行卡犯罪呈职业化智能化国际化	11-28
银行卡犯罪激增1.4倍	11-28
08年病毒暴增12倍 “软件民工”成	11-28
金融危机下网络安全企业的技术生	11-28
美杂志盘点08年美国IT业十大失败	11-28
美称中国打乱其全球部署：中国激	11-28
《中关村日报》iPhone 2.2版本被	11-28
“．中国”域名明年写入全球根域	11-28