[翻译]Invision Community Blog中存在SQL注射漏洞
本文作者: 剑心[B.C.T]文章出处: 原创翻译
翻译网站: [url]http://www.bnso.net[/url]
发布日期: 2005-1-12
漏洞主题:Invision Community Blog中存在SQL注射漏洞
发布日期:2005.1.9上午4:51
公告作者:darkhawk matrix <darkhawk matrix gmail com>
公告ID:<20050109045132.10139.qmail@[url]www.securityfocus.com>[/url]
漏洞说明:
Invision Community Blog<[url]http://www.invisionblog.com/>[/url]是一款强大的允许直接向Invision Power Board追加记录的博客系统。他允许你的会员建立他们自己独立的Blog。而且Invision Community Blog有着很友好的用户交互界面。
由于不正确的eid变量的有效性检查,它使得攻击者构造一个sql查询。
攻击示例:
[url]http://website/forum/index.php?automodule=blog&blogid=14&cmd=showentry&eid=4%20injectionhere[/url]
页:
[1]