TAIWAN
2004-01-15, 01:37 AM
VBulletin SQL Injection
VBulletin 是一種常見於討論區使用的程式在 calendar.php 腳本對用戶參數缺少充分過濾,遠端攻擊者可以利用這個漏洞進行SQL Injection攻擊,可獲得敏感資料和更改資料庫。
calendar.php腳本對URI中的"eventid"參數缺少驗證,遠端攻擊者可使用包含惡意SQL命令作為"eventid"參數,可更改原有SQL邏輯,可獲得敏感資料和更改資料庫。
http://www.vbulletin.com/
SORRY 前幾天沒過來這邊 今日補貼 ;)
http://www.sss.org.tw/phpbb/viewtopic.php?t=1839
VBulletin 是一種常見於討論區使用的程式在 calendar.php 腳本對用戶參數缺少充分過濾,遠端攻擊者可以利用這個漏洞進行SQL Injection攻擊,可獲得敏感資料和更改資料庫。
calendar.php腳本對URI中的"eventid"參數缺少驗證,遠端攻擊者可使用包含惡意SQL命令作為"eventid"參數,可更改原有SQL邏輯,可獲得敏感資料和更改資料庫。
http://www.vbulletin.com/
SORRY 前幾天沒過來這邊 今日補貼 ;)
http://www.sss.org.tw/phpbb/viewtopic.php?t=1839