September 29, 2008

Pligg XSS

说个很没水平的漏洞.
最近做项目,客户说他的Pligg常常被spam.结果去后台删除comments的时候被xss了.而Pligg是我刚升级到的最新版本9.9.5
检查了一下story.php和libs/comment.php,发现难怪如此.
comment虽然提示是html disable的.但是入数据库前根本除了escape一下根本未作任何过滤..太不设防了..赶紧加了点过滤,不过相信问题还是有不少的.
虽然Pligg是个常用的open source Digg系统,但是居然这么高版本了还对安全如此不负责任.report到官方论坛,一个礼拜了也没人理.

Pligg XSS

02/Jun 旧碎思

22/Jan 单机游戏个人推荐列表

16/Aug 中国古代如何阻止北方游牧民族南侵？

11/Jun 关于青年漫画

12/May 用Markdown占领世界

12/May 读或死

12/Sep PaaS Sandbox 实现原理分析

09/Oct PHP端口复用的利用