 |
PHPFreeNews searchresults.php多个SQL注入漏洞 |
|
|
| PHPFreeNews searchresults.php多个SQL注入漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 11:16:00 |
|
发布日期:2005-08-23
更新日期:2005-08-23
受影响系统:
PHPFreeNews PHPFreeNews 1.40
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 14589
PHPFreeNews是一款免费的PHP脚本,允许用户显示站点的新闻头条和文章。
PHPFreeNews中存在多个SQL注入漏洞,起因是没有正确的过滤用户输入。攻击者可以利用这些漏洞在基础数据库系统中执行任意代码。
<*来源:matrix_killer (matrix_k@abv.bg)
h4cky0u (h4cky0u@gmail.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112439254700016&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.site.com/phpfn/SearchResults.php?Match=’&NewsMode=1&SearchNews=Search&CatID=0
http://www.site.com/phpfn/SearchResults.php?Match=1&NewsMode=1&SearchNews=Search&CatID=’
http://www.site.com/phpfn/SearchResults.php?Match=%27&NewsMode=1&SearchNews=Search&CatID=0
http://www.site.com/phpfn/SearchResults.php?Match=1&NewsMode=1&SearchNews=Search&CatID=%27
建议:
--------------------------------------------------------------------------------
厂商补丁:
PHPFreeNews
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpfreenews.co.uk/【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: PHP数据库安全之SQL注入
下一篇文章: phpBB 2.0.13 Path Disclosure And Remote php File Include |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
