站长之家 - 动态 2011-07-04 15:27

Discuz X2安全研究报告:SQL与XSS注入漏洞分析

《Discuz X2安全研究报告:SQL与XSS注入漏洞分析》文章已经归档,站长之家不再展示相关内容,下文是站长之家的自动化写作机器人,通过算法提取的文章重点内容。这只AI还很年轻,欢迎联系我们帮它成长:

近日,DiscuzX2被爆出了两个0day,一个是SQL注入漏洞,攻击者可利用该漏洞获取到用户名与密码,另一个是XSS注入漏洞,攻击者可实现网站挂马、网站钓鱼等行为,目前官方已针对此问题发布了0629版,以下内容是Nevel安全团队的IMIYOO针对disucz X2此次0day所做的漏洞分析报告。SQL注入问题描述:SQL是一种数据库攻击方式,攻击者利用畸形的客户端输入,如果过滤不够,程序就会执行过多的数据库命令,从而会引发数据泄漏,服务器被入侵等一系列问题;危害等级高。分析报告:问题的具体原因发生在source/module/forum/forum_attachment.php,代码如下图:其中$_G[‘gp_aid’]是由用户提交的变量aid所产生,而程序是将aid经过base64_decode后再传入SQL查询,在传入给SQL查询之前也没有作任何判断;但这正好给攻击者提供base64加密绕过Discuz自身的SQ...

......

本文由站长之家用户“站长之家Chinaz.com”投稿,本平台仅提供信息索引服务。由于内容发布时间超过平台更新维护时间,为了保证文章信息的及时性,内容观点的准确性,平台将不提供完整的内容展现,本页面内容仅为平台搜索索引使用。需阅读完整内容的用户,请联系作者获取原文。

推荐关键词

24小时热搜

查看更多内容

大家正在看