好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

Jsprun SQL注入漏洞及修复方案 - 网站安全 - 自学

作者:  Ray 简要描述: Jsprun未用占位符方式引入query,变量未过滤,导致SQL注入 详细说明: /source/src/cn/jsprun/struts/foreg/actions/MyManageAction.java 内 String newbuddyid = request.getParameter("newbuddyid"); 最终 HdhCmsTest2cto测试数据 List<Map<String, String>> members = dataBaseService.executeQuery("SELECT uid FROM jrun_members WHERE "+ (newbuddyid == null ? "username='" + Common.addslashes(newbuddy) + "'": "uid=" + newbuddyid));

最终导致SQL注入

漏洞 证明:

   

修复方案: Common.intval它或者用用占位符。 :)

查看更多关于Jsprun SQL注入漏洞及修复方案 - 网站安全 - 自学的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11267
  阅读:45次

上一篇: 某教育站打印页面漏洞爆管理员密码及修复 - 网

下一篇:Vivvo CMS本地文件包含及修复 - 网站安全 - 自学p

相关资讯