VULHUB ™

Z-Blog是一款基于Asp平台的Blog博客(网志)程序，支持 Wap，支持Firefox，Oprea等浏览器，在国内使用非常广泛，官方主页在http://www.rainbowsoft.org/。Z- blog代码严谨，前台功能简洁，后台功能强大，这为它的产品安全带来很大的优势，但是80sec在产品中发现一个严重的跨站脚本攻击漏洞，加上产品设计 上的一些问题可能带来严重的后果。 在FUNCTION/c_urlredirect.asp中，程序对提交的url参数做如下处理 strUrl=URLDecodeForAntiSpam(Request.QueryString(&quot;url&quot;)) 其中URLDecodeForAntiSpam是防止垃圾连接的解码函数，其函数处理如下 Function URLDecodeForAntiSpam(strUrl) Dim i,s For i =1 To Len(strUrl) Step 2 s=s &amp; Mid(strUrl,i,1) Next URLDecodeForAntiSpam=s End Function 在做如上处理之后程序将在c_urlredirect.asp输出url参数 ... &lt;meta http-equiv=&quot;refresh&quot; content=&quot;0;URL=&lt;%Response.Write strUrl%&gt;“/&gt; … Z-Blog 1.8 <a href=http://www.rainbowsoft.org/ target=_blank>http://www.rainbowsoft.org/</a> 请等待官方公告

Z-Blog是一款基于Asp平台的Blog博客(网志)程序，支持 Wap，支持Firefox，Oprea等浏览器，在国内使用非常广泛，官方主页在http://www.rainbowsoft.org/。Z- blog代码严谨，前台功能简洁，后台功能强大，这为它的产品安全带来很大的优势，但是80sec在产品中发现一个严重的跨站脚本攻击漏洞，加上产品设计 上的一些问题可能带来严重的后果。 在FUNCTION/c_urlredirect.asp中，程序对提交的url参数做如下处理 strUrl=URLDecodeForAntiSpam(Request.QueryString(&quot;url&quot;)) 其中URLDecodeForAntiSpam是防止垃圾连接的解码函数，其函数处理如下 Function URLDecodeForAntiSpam(strUrl) Dim i,s For i =1 To Len(strUrl) Step 2 s=s &amp; Mid(strUrl,i,1) Next URLDecodeForAntiSpam=s End Function 在做如上处理之后程序将在c_urlredirect.asp输出url参数 ... &lt;meta http-equiv=&quot;refresh&quot; content=&quot;0;URL=&lt;%Response.Write strUrl%&gt;“/&gt; … Z-Blog 1.8 <a href=http://www.rainbowsoft.org/ target=_blank>http://www.rainbowsoft.org/</a> 请等待官方公告