MYBBS系统存在漏洞本文作者: 虾饼
文章出处: 原创
阅读次数: 29
发布日期: 2004-12-2
受影响版本:
所有MYBBS系统
漏洞:
1.
用户注册功能页面没有针对无用户名注册的过滤
用户注册功能页面没有针对用户名的长度的过滤
用户注册功能页面没有针对无密码用户的过滤
用户注册功能页面没有针对用户签名以及个人介绍的字数限制
用户注册功能页面没有针对用户头像大小以及规格的限制
2.
论坛版面最新回复所调用字数的限制
论坛版面发表新文章的主题字数限制
论坛版面发表新文章内容部分的字数限制
论坛版面发表新文章针对JS的过滤
3.
论坛短信功能页面没有针对发表人以及回复人的限制
论坛短信功能页面对于JS恶意代码的过滤(JS代码嵌入漏洞)
论坛短信功能页面没有针对发表后页面的时间限制(可以导致无限制短信DOS)
4.
COOKIE欺骗
数据库暴库
SQL注入
INC页面漏洞
后台管理员无法删除
后台管理多处漏洞
厂商补丁:
MYBBS
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本