发布日期：2007-03-03
更新日期：2007-03-03

受影响系统：

PHP PHP 4.4.3-4.4.6

描述：

---

PHP是一种HTML内嵌式的语言。

PHP 4.4.3-4.4.6的phpinfo()没有转义GET, POST, COOKIE变量中的数组内容，显示后会触发XSS漏洞。

<*来源：Jeremy Bae （swbae@stgsecurity.com）
  
  链接：http://php-security.org/MOPB/MOPB-08-2007.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

用类似下面的参数调用phpinfo()页：

http://localhost/phpinfo.php?a[]=<script>alert(/XSS/);</script>

建议：

---

厂商补丁：

PHP
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.php.net

浏览次数：3520
严重程度：0（网友投票）