漏洞成因:htmlspecialchars 在某些編碼下(如 UTF-8、Shift_JIS、EUC-JP),未正確過濾惡意字串。
PoC:
- PHP 5.2.11 - 'htmlspecialcharacters()' Malformed Multibyte Character Cross-Site Scripting (1)
- PHP 5.2.11 - 'htmlspecialcharacters()' Malformed Multibyte Character Cross-Site Scripting (2)
修補方式:更新至 5.2.12 以上
補充資料:Bypassing htmlspecialchars and executing XSS
沒有留言:
張貼留言