 |
|
 |
您现在的位置: 精品下载 >> 安全 >> 网络安全 >> 安全中心正文 |  用户登录  新用户注册 |
|
||||
| Invision Power Board index.php ck参数远程SQL注入漏洞 | ||||
| 作者:佚名 安全中心来源:不详 点击数: 更新时间:2007-10-10 | ||||
Invision Power Board index.php ck 描述: Invision Power Board index.php ck参数远程SQL注入漏洞 详细: Invision Power Board是一款流行的PHP论坛程序。 Invision Power Board的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击。 在SQL查询中使用之前Invision Power Board没有正确地过滤index.php中对“ck”参数的输入,导致可以通过注入任意SQL代码(仅限32个字符)操控SQL查询。 sources/lib/func_taskmanager.php 70行中的漏洞代码: $this->cron_key = substr( trim(stripslashes($_REQUEST['ck'])), 0, 32 ); 没有过滤“ck”输入,导致113行“''where' => "task_cronkey='".$this->cron_key."'"”的SQL注入。 <*来源:IceShaman Wells 链接:(http://secunia.com/advisories/19830/print/ (http://marc.theaimsgroup.com/?l=bugtraq&m=114598412817933&w=2 *> 受影响系统: Invision PS Invision Board 2.1.5 攻击方法: 警 告 以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! (http://www.host.com/index.php?act=task&ck=' 解决方案: 厂商补丁: Invision PS ----------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: (http://forums.invisionpower.com/index.php?showtopic=213374 |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)