网络优化

OneForum SQL的注射漏洞及其修复方法

2019年09月12日 热度:912 ℃
标题: OneForum SQL Injection Exploit
作者: Cyber-sec
下载地址: http://www.onescripts.de/download/go.php?id=1
影响版本: OneForum - 2.0
测试平台: Linux
[1] SQL注射缺陷:
http://localhost/OneForum/category.php?id=[sql injection]
http://www.it165.net/OneForum/topic.php?id=[sql injection]
修复:
过滤以上两个页面的相应id参数输入

分享给朋友:

相关文章

ASPX文件构造可注射跨站

ASPX文件构造可注射跨站

昨天跟4z1看一个站点,提权很难提,看了整整5个小时,无果。 2008+iis7,无sa,无root,无各种服务。。。 其实中用到了aspx构造注射来跨站,网上找了一堆代码,没一个能用...

代码审计:ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法

代码审计:ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法

下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑。建议类似的厂商不要再做这...

Discuz防注入函数绕过方法分析及没用心的修复补丁

Discuz防注入函数绕过方法分析及没用心的修复补丁

分析人:晴天小铸,Seay 分析时间:2013年03月20日 discuz介绍: Crossday Discuz! Board(以下简称 Discuz!,中国国家版权局著作权登记号...

利用Zend目录提权

利用Zend目录提权

就算C:Program Files 设置过权限,安装Zend后,Zend 会自动配置目录的权限 C:Program FilesZendZendOptimizer-3.3.0 下的目录权...

ThinkPHP框架通杀所有版本的一个SQL注入漏洞分析及测试

ThinkPHP框架通杀所有版本的一个SQL注入漏洞分析及测试

下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑。建议类似的厂商不要再做这...

通过参数方式防止注入漏洞

通过参数方式防止注入漏洞

在判断用户登录时如果用了string.format字符串拼接的方式,用户有可能通过相应的拼接,去注视掉要求验证的代码;这样就有了漏洞;然而在net中通过参数的方式(本质是存储过程对这样的...

Chrome 远程调试协议分析与实战(2014)

Chrome 远程调试协议分析与实战(2014)

某一天,A 君想获取 Chrome 页面中的性能数据,诸如时间、白屏和首屏等,因为需要和竞品进行对比分析,无法注入代码,该怎么办? 此时,你也许能想到 开发者工具(DevTools)...

Backtrack5常用的漏洞扫描工具

Backtrack5常用的漏洞扫描工具

黑客在攻击之前习惯扫描个操作系统是绝对不可缺少的,黑客袭击就和战争一样知己知被方能百战不殆入。侵者一般利用扫描技术获取系统中的安全漏洞侵入系统,而系统管理员也需要通过扫描技术及时了解系统...

Code Review Engine Learning

Code Review Engine Learning

  1. INTRODUCTION: 代码审计介绍 我们知道,在Risk Threat Modeling(风险模型)中,攻击者通过开源代码或者逆向工程获得目标系统的源代码,...

最新OpenSSL漏洞CCS注入及升级修复

最新OpenSSL漏洞CCS注入及升级修复

说明:此漏洞是openssl小组于2014-5-1日提出的,并且与6月2日联系红帽子以及其他衍生版本,并且与6月5日告知大众!  ...

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
请先 登录 再评论,若不是会员请先 注册