ZeusCart 4.0 跨站脚本漏洞

漏洞描述

    Zeuscart 是一款非常稳定的、界面丰富的、 开源的购物系统。

    ZeusCart 4.0 版本在实现上存在一个跨站脚本漏洞,这个漏洞产生的原因是文件 /zeuscart-master/admin/index.php 对参数 txtstreet 没有进行严格的过滤,攻击者可构造如下请求表单:

    2.png

    通过参数 txtstreet 传递恶意的 xss 代码,实现跨站攻击。

    成功利用该漏洞的攻击者可进行钓鱼攻击,获取用户敏感信息。

解决方案

    1、修改源码,严格过滤参数 txtstreet 中出现后类似「<」、「>」、「'」等可能造成跨站攻击的特殊字符;<!--」、「-->

    2、目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://zeuscart.com/;

    3、如果购买了深信服下一代防火墙,请升级 WAF 特征库到 20150904 以上版本,可轻松防御针对该漏洞的攻击。