使用HDWIKI站点在9月26号发布HDwiki 4.0.1版本,在使用升级包升级到新版本之后,注册用户在使用搜索的时候会出现这样的问题:在网页头部显示:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /path/public_html/lib/hddb.class.php on line 36
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /path/public_html/lib/hddb.class.php on line 36
同时我也随意找了一个站点,试验了一下:
http://www.donghubi.cn/wiki/
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/users/donghubi.cn/wiki/lib/hddb.class.php on line 36
出现同样的错误,这应该算在一个曝露了站点目录的轻微漏洞。我在互动的站点测试没有出现这个问题,估计是因为使用升级包的才会产生这个问题。
随后我简单的扫了一下本机测试站点,发现了一个跨站脚本漏洞,然后在互动的主站上也发现了同样的问题。
你试一下把下面的话在IE中输入看看。
http://kaiyuan.hudong.com/index.php?doc-innerlink-%E5%B8%AE%E5%8A%A9=>’><script>alert(‘Watchfire%20XSS%20Test%20Successful’)</script>
我在9月27日的下午已经把这个漏洞和上面那个问题提交给了HDWIKI的开发人员,希望这些问题能够尽快解决。
本文还暂无回复