Heim >Backend-Entwicklung >PHP-Tutorial >okphp系列产品的多个漏洞_PHP

okphp系列产品的多个漏洞_PHP

WBOY
WBOYOriginal
2016-06-01 12:25:321184Durchsuche

本文作者:SuperHei
文章性质:原创
发布日期:2005-08-14

程序描叙

  OKPHP是由www.okphp.com开发一套专业的网站管理系统,目前产品包括:Okphp CMS, Okphp BBS,Okphp BLOG。由于对变量的过滤不严密及密码认证不严,导致sql注射,xss,隐藏变量post攻击从跨权限操作。

漏洞攻击

1、SQl注射及xss

  “几乎” 存在于各个变量里,如:forum.php

http://www.xxx.com/forum.php?action=view_forum&forum_id={sql}
http://cn.okphp.com/forum.php?action=view_forum&forum_id='xss
.......

2、隐藏变量post攻击

  在提交request.php?action=user_modify 修改用户资料时,没有密码认证导致通过user_id修改容易用户密码及资料;

Exp:



Okphp Discussions - powered by okphp BBS







Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn