sql注入漏洞,WebSPELL程序存在SQL注入漏洞

WebSPELL程序存在SQL注入漏洞 - 电脑安全 - 电脑教程网

WebSPELL程序存在SQL注入漏洞

日期:2006-08-04   荐:
  漏洞信息  webSPELL是一款基于PHP的WEB应用程序。  webSPELL不正确过滤用户提交的URI输入,远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。  问题是'search.php'脚本对用户提交的参数数据缺少过滤,提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。  BUGTRAQ ID: 16673  CNCAN ID:CNCAN-2006021613  漏洞消息时间:2006-02-15  漏洞起因  输入验证错误  影响系统  webSPELL webSPELL 4.1   webSPELL webSPELL 4.0  危害  远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。  攻击所需条件  攻击者必须访问webSPELL。  厂商解决方案  升级程序:  webSPELL webSPELL 4.0  webSPELL SecurityFix 2006-02-15  http://www.webspell.org/index.php?site=files&file=4  webSPELL webSPELL 4.1   webSPELL SecurityFix 2006-02-15  http://www.webspell.org/index.php?site=files&file=4  漏洞提供者  Hamid Ebadi     漏洞消息链接  http://www.webspell.org/index.php?site=news_commentsnewsID=49&lang=de  漏洞消息标题  webSPELL Securityfix (webSPELL)
标签: