发现PJ搜索文件又一个过滤不严问题

刚才在::Blog (㈠博客)交流::看到群友扬帆反应一个搜索文件过滤不严问题，又似乎说的很严重，会造成跨站危险漏洞，其实不然，据AlPar分析，该代码是通过留言到PJ留言本或者评论中然后调用search.asp文件执行有木马的嵌入式框架页面，给客户端用户造成危害，具有潜在危害性。

具体修正方法如下：
打开 search.asp
找到
关键词 <b><%=SearchContent%></b> | 共找到

修改为
关键词 <b><%=HTMLEncode(SearchContent)%></b> | 共找到

即过滤HTML代码输出。

类似的危害代码如下：
（iframe地址已经更换为正常页面，无木马）
http://blog.haifol.com/search.asp?SearchContent=%3Cscript%3Ealert%28%2F%E5%98%BF%EF%BC%8C%E5%A5%BD%E5%83%8F%E7%B3%BB%E7%BB%9F%E6%9C%89%E7%82%B9%E9%97%AE%E9%A2%98%E5%93%A6%EF%BC%8CQQ%EF%BC%9A4444444444%2F%29%3C%2Fscript%3E%3Ciframe+name%3D%22I1%22+src%3Dhttp%3A%2F%2Fwww.hxblog.net%2Ffilm+width%3D0+height%3D0%3E%3C%2Fiframe%3E&searchType=titl
其他人点击此连接才有效果。这里为了安全起见，去掉链接效果！
如果iframe地址是木马页面，后果大家都知道了吧？ 谷歌AD正在载入，请稍候……

点此快速转到评论处，留下您的宝贵见解吧^_^ 本文如需转载，请详细注明出处，尊重版权，尊重别人的劳动成果，谢谢合作哦！

相关日志 详细信息 日志搜索 推荐收藏 反向链接 本站声明 相关日志: 输入您的搜索字词 提交搜索表单   Web www.haifol.com 文章来自: 本站原创 日志标签: 代码分析代码分析 脚本脚本 PJBlogPJBlog 引用通告地址:           → 此文不错，想引用之？点击这里查看引用地址吧！ 关键字 类　型 日志标题 日志内容 日志评论 引用通告 收藏到网摘:  POCO网摘 和讯网摘 收藏到QQ书签 反向链接: ① 本站发表的文章仅属个人观点. ② 凡本站转载的文章,图片,影音等,如若侵权请在本站留言录留言,本站会尽快处理妥当. ③ 允许转载本站部分文章,但请注明出处.若可能,请给我发引用通告. ④ 为了本站的长久存在,请不要盗链本站图片或影音文件地址. ⑤ 以上声明解释权归::海枫在线::所有.