_title>UBBThreads dosearch.php远程SQL注入漏洞
_title>
| PHP的论坛程序 |
| 描述: |
| UBBThreads dosearch.php远程SQL注入漏洞 |
| 详细: |
| UBBThreads是一款基于PHP的论坛程序。 UBBThreads dosearch.php脚本对用户提交的输入缺少充分过滤,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得敏感信息。 dosearch.php不正确过滤用户提交给'name'参数的数据,远程攻击者提供恶意SQL命令作为参数数据,可更改原有SQL逻辑,获得敏感信息。 <*来源:Florian Rock (florianrock@web.de) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109839925207038&w=2 *> 受影响系统: UBBCentral UBB.threads 3.4.x |
| 攻击方法: |
| 以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! Florian Rock (florianrock@web.de)提供了如下测试方法: dosearch.php?Name=' OR U_Password='PWINMD5 PWINMD5是目标用户的MD5密码。 |
| 解决方案: |
| 厂商补丁: UBBCentral ---------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.ubbcentral.com/ |
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/
关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073