设为首页
收藏本站
用户名
Email
自动登录
找回密码
密码
登录
注册
快捷导航
平台
Portal
论坛
BBS
文库
项目
群组
Group
我的博客
Space
搜索
搜索
热搜:
shell
linux
mysql
本版
用户
LinuxSir.cn,穿越时空的Linuxsir!
»
论坛
›
运维技术 —— LinuxSir.cn
›
网络技术\网络安全讨论
›
漏洞公告-PHP-Nuke Adam Webb NukeJokes模块多个输入验 ...
返回列表
查看:
619
|
回复:
0
漏洞公告-PHP-Nuke Adam Webb NukeJokes模块多个输入验证漏洞 (Other,缺陷)
[复制链接]
ufo2000
ufo2000
当前离线
积分
578
IP卡
狗仔卡
发表于 2004-5-18 20:14:55
|
显示全部楼层
|
阅读模式
涉及程序:
PHP-Nuke Adam Webb NukeJokes
描述:
PHP-Nuke Adam Webb NukeJokes模块多个输入验证漏洞
详细:
NukeJokes是一款PhpNuke系统的模块,用于制作笑话集。
NukeJokes对用户提交的数据缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息,或修改数据库信息。
由于对用户提交的URI参数缺少检查,提交不合法的数据给这些参数,可导致路径泄露,跨站脚本,和SQL注入攻击等问题。
受影响系统:
Adam Webb NukeJokes 2.0 Beta
Adam Webb NukeJokes 1.7
攻击方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Janek Vind (come2waraxe@yahoo.com)提供了如下测试方法:
A. 路径泄露:
http://localhost/nuke72/modules/NukeJokes/mainfunctions.php
http://localhost/nuke72/modules. ... w&jokeid=foobar
http://localhost/nuke72/modules. ... View&cat=foobar
B. 跨站脚本攻击:
http://localhost/nuke72/modules. ... nc=CatView&cat=
[xss code here]
http://localhost/nuke72/modules. ... okeView&jokeid=
[xss code
here]
C. Sql注入:
http://localhost/nuke72/modules. ... r=1/**/LIMIT/**/1/*
解决方案:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://funportal.beanwebb.com/mo ... ct&project_id=4
附加信息:
无
发布时间:2004年5月18日
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖后跳转到最后一页
Copyright © 2002-2023
LinuxSir.cn
(http://www.linuxsir.cn/) 版权所有 All Rights Reserved.
Powered by
RedflagLinux!
技术支持:
中科红旗
|
京ICP备19024520号
快速回复
返回顶部
返回列表