Maison > développement back-end > tutoriel php > okphp系列产品的多个漏洞_PHP

okphp系列产品的多个漏洞_PHP

WBOY
Libérer: 2016-06-01 12:25:32
original
1184 Les gens l'ont consulté

本文作者:SuperHei
文章性质:原创
发布日期:2005-08-14

程序描叙

  OKPHP是由www.okphp.com开发一套专业的网站管理系统,目前产品包括:Okphp CMS, Okphp BBS,Okphp BLOG。由于对变量的过滤不严密及密码认证不严,导致sql注射,xss,隐藏变量post攻击从跨权限操作。

漏洞攻击

1、SQl注射及xss

  “几乎” 存在于各个变量里,如:forum.php

http://www.xxx.com/forum.php?action=view_forum&forum_id={sql}
http://cn.okphp.com/forum.php?action=view_forum&forum_id='xss
.......

2、隐藏变量post攻击

  在提交request.php?action=user_modify 修改用户资料时,没有密码认证导致通过user_id修改容易用户密码及资料;

Exp:



Okphp Discussions - powered by okphp BBS







Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal