찾다
백엔드 개발PHP 튜토리얼PHP Advanced Transfer Manager多个漏洞_PHP

信息提供: 安全公告(或线索)提供热线:bitscn.editor@gmail.com
漏洞类别: 输入确认漏洞
攻击类型: 远程攻击
发布日期: 2005-09-20
更新日期: 2005-09-20
受影响系统: PHP Advanced Transfer Manager 1.x
安全系统: 无
漏洞报告人: rgod
漏洞描述: Secunia Advisory: SA16867

PHP Advanced Transfer Manager复合漏洞

rgod已经报道了在PHP Advanced Transfer Manager中的一些漏洞和安全问题。恶意攻击者利用漏洞可能泄露系统信息和一些敏感信息,也可能执行交叉脚本攻击。

1.在用来显示文件之前,在"txt.php", "htm.php", "html.php"和"zip.php"中"current_dir" 和 "filename"参数的输入无效。攻击者利用漏洞通过目录障碍攻击泄露恶意文件的内容。

2.攻击者利用漏洞通过直接访问"test.php"脚本可能泄露某些PHP配置设置。

3.在反馈给用户之前,在"txt.php" 中"font", "normalfontcolor" 和"mess[31]"参数的输入无效。当用户浏览受影响的网络时,攻击者利用漏洞执行恶意HTML代码和恶意脚本代码。

在PHP Advanced Transfer Manager 1.30版本中发现漏洞和安全问题,其他版本也可能受到影响。

测试方法: 无

解决方法: 编辑代码确认输入有效,并限制访问"test.php"脚本。 

程序下载:http://phpatm.free.fr/archive/phpATM_130.zip
 

성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
20步内越狱任意大模型!更多“奶奶漏洞”全自动发现20步内越狱任意大模型!更多“奶奶漏洞”全自动发现Nov 05, 2023 pm 08:13 PM

不到一分钟、不超过20步,任意绕过安全限制,成功越狱大型模型!而且不必知道模型内部细节——只需要两个黑盒模型互动,就能让AI全自动攻陷AI,说出危险内容。听说曾经红极一时的“奶奶漏洞”已经被修复了:如今,面对“侦探漏洞”、“冒险家漏洞”和“作家漏洞”,人工智能应该采取何种应对策略呢?一波猛攻下来,GPT-4也遭不住,直接说出要给供水系统投毒只要……这样那样。关键这只是宾夕法尼亚大学研究团队晒出的一小波漏洞,而用上他们最新开发的算法,AI可以自动生成各种攻击提示。研究人员表示,这种方法相比于现有的

如何解决PHP语言开发中常见的文件上传漏洞?如何解决PHP语言开发中常见的文件上传漏洞?Jun 10, 2023 am 11:10 AM

在Web应用程序的开发中,文件上传功能已经成为了基本的需求。这个功能允许用户向服务器上传自己的文件,然后在服务器上进行存储或处理。然而,这个功能也使得开发者更需要注意一个安全漏洞:文件上传漏洞。攻击者可以通过上传恶意文件来攻击服务器,从而导致服务器遭受不同程度的破坏。PHP语言作为广泛应用于Web开发中的语言之一,文件上传漏洞也是常见的安全问题之一。本文将介

Java中的缓冲区溢出漏洞及其危害Java中的缓冲区溢出漏洞及其危害Aug 09, 2023 pm 05:57 PM

Java中的缓冲区溢出漏洞及其危害缓冲区溢出是指当我们向一个缓冲区写入超过其容量的数据时,会导致数据溢出到其他内存区域。这种溢出行为常常被黑客利用,可以导致代码执行异常、系统崩溃等严重后果。本文将介绍Java中的缓冲区溢出漏洞及其危害,同时给出代码示例以帮助读者更好地理解。Java中广泛使用的缓冲区类有ByteBuffer、CharBuffer、ShortB

OpenAI DALL-E 3 模型存生成“不当内容”漏洞,一微软员工上报后反遭“封口令”OpenAI DALL-E 3 模型存生成“不当内容”漏洞,一微软员工上报后反遭“封口令”Feb 04, 2024 pm 02:40 PM

2月2日消息,微软软件工程部门经理ShaneJones最近发现OpenAI旗下的DALL-E3模型存在漏洞,据称可以生成一系列不适宜内容。ShaneJones向公司上报了该漏洞,但却被要求保密。然而,他最终还是决定向外界披露了这个漏洞。▲图源ShaneJones对外披露的报告本站注意到,ShaneJones在去年12月通过独立研究发现OpenAI文字生成图片的DALL-E3模型存在一项漏洞。这个漏洞能够绕过AI护栏(AIGuardrail),导致生成一系列NSFW不当内容。这个发现引起了广泛关注

Java中的逗号运算符漏洞和防护措施Java中的逗号运算符漏洞和防护措施Aug 10, 2023 pm 02:21 PM

Java中的逗号运算符漏洞和防护措施概述:在Java编程中,我们经常使用逗号运算符来同时执行多个操作。然而,有时候我们可能会忽略逗号运算符的一些潜在漏洞,这些漏洞可能导致意外的结果。本文将介绍Java中逗号运算符的漏洞,并提供相应的防护措施。逗号运算符的用法:逗号运算符在Java中的语法为expr1,expr2,可以说是一种序列运算符。它的作用是先计算ex

非常全面!PHP常见漏洞代码总结!非常全面!PHP常见漏洞代码总结!Jan 20, 2023 pm 02:22 PM

本篇文章给大家带来了关于PHP漏洞的相关知识,其中主要给大家总结介绍PHP的常见漏洞代码都有哪些,非常全面详细,下面一起来看一下,希望对需要的朋友有所帮助。

Zerodium 宣布为 Microsoft Outlook 零点击 RCE 安全漏洞支付 400,000 美元Zerodium 宣布为 Microsoft Outlook 零点击 RCE 安全漏洞支付 400,000 美元Apr 29, 2023 pm 09:28 PM

<ul><li><strong>点击进入:</strong>ChatGPT工具插件导航大全</li></ul><figureclass="imageimage--expandable"><imgsrc="/uploads/2023041

提高Linux服务器的安全性:常见安全漏洞和修复方法提高Linux服务器的安全性:常见安全漏洞和修复方法Sep 11, 2023 pm 05:10 PM

提高Linux服务器的安全性:常见安全漏洞和修复方法随着互联网的快速发展,Linux服务器成为了很多企业和个人的首选。然而,Linux服务器的安全性也面临着各种挑战和威胁。为了确保服务器的安全,管理员需要了解并采取适当的措施来修复常见的安全漏洞。本文将介绍一些常见的安全漏洞和修复方法,以帮助管理员提高Linux服务器的安全性。弱密码弱密码是服务器安全漏洞的常

See all articles

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

에디트플러스 중국어 크랙 버전

에디트플러스 중국어 크랙 버전

작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음

Dreamweaver Mac版

Dreamweaver Mac版

시각적 웹 개발 도구

ZendStudio 13.5.1 맥

ZendStudio 13.5.1 맥

강력한 PHP 통합 개발 환경

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

mPDF

mPDF

mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.