高阁客竟去·小园花乱飞·参差连曲陌·迢递送斜晖http://blog.yesky.com/Blog/wjswsl/复制地址
控制面板
  • 个人首页
  • 发表文章
  • 博客管理
  • 博客收藏
  • 我的相册
  • 上传相片
  • 我的家园
  • 我的群乐
    • 日历
    <2008年9月>
    SuMoTuWeThFrSa
    31123456
    78910111213
    14151617181920
    21222324252627
    2829301234
    567891011
    留言簿(49)
    文章档案
    最新评论
    阅读排行榜
    评论排行榜
    bBlog rss.php远程SQL注入漏洞

    漏洞级别:

    发布日期:2004-10-12

    更新日期:2004-10-09

    漏洞类型:配置错误

    攻击类型:远程

    攻击效果:安全保护

    受影响系统:


    bBlog bBlog 0.7.3
    bBlog bBlog 0.7.2

    漏洞描述:


    bBlog是一款基于PHP的BLOG系统。bBlog包含的rss.php脚本不正确处理用户提交的URI输入,远程攻击者可以利用这个漏洞进行SQL注入攻击,可以获得敏感信息或更改数据库。 rss.php脚本对用户提交的$p参数缺少过滤,就直接传递给$bBlog->make_post_query()函数,攻击者提交特殊的SQL数据作为$p参数数据,可以更改原有SQL逻辑,可以获得敏感信息或更改数据库。

    参考资源一:

    http://marc.theaimsgroup.com/?l=bugtraq&m=109665351632048&w=2

    参考资源三:

    http://www.servers.co.nz/security/patches/SCN200409-1/rss.php-patch.txt
    posted on 2005-03-24 10:36 心海箫音 阅读(35) 评论(0)  编辑 报警

    Feedbac

    作者:心海箫音 阅读() 评论()  编辑 发表于:2005-03-24 10:36
    相关内容
  • mcafee杀毒软件暴高危漏洞[分析及解决办法]
  • 世界上最恐怖的格斗比赛—黑市无限制格斗拳赛
  • Gmail悄悄变脸,提供12种语言界面
  • 京外国语言大学的图书馆被黑
  • 中国取得解码技术突破美国称系统遭破解
  • 利用服务创建SYSTEM权限的CMD
  • EXE变成DOC
  • Google清洗中文搜索引擎垃圾 二级域名锐减
  • 第一个网络国家申请加入联合国
  • Firefox神童罗斯:我们的软件会永远免费
    • 文章评论

    暂无人对此文章发表评论!

    发表评论
    标题 *  
    姓名 *  
    内容 *  
       验证码: *       
           
    版权声明:天极是本Blog托管服务提供商。如本文牵涉版权问题,天极不承担相关责任,请版权拥有者直接与文章作者联系解决。
    Powered by:

    Copyright © 警者自警