[转载]Ikonboard ikonboard.cgi远程SQL注入漏洞

冰血封情

老林

团队决策人

Rank: 9 Rank: 9 Rank: 9

E.S.T运营责任人

帖子: 6831
精华: 834
积分: 36069
阅读权限: 255
性别: 男
来自: 中国
在线时间: 599 小时
注册时间: 2004-6-25
最后登录: 2008-12-3

优秀管理奖资料收集奖原创技术奖核心建议奖

发短消息
加为好友
当前离线

楼主大中小发表于 2004-12-19 04:18 只看该作者

[转载]Ikonboard ikonboard.cgi远程SQL注入漏洞

信息来源：NSFOCUS

发布日期：2004-12-15
更新日期：2004-12-17

受影响系统：
Ikonboard.com ikonboard 3.1.3
Ikonboard.com ikonboard 3.1.2
Ikonboard.com ikonboard 3.1.1
Ikonboard.com ikonboard 3.1.0
描述：
--------------------------------------------------------------------------------
Ikonboard是一款基于WEB的BBS程序。

Ikonboard对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞进行SQL注入攻击，可能获得敏感信息。

"ikonboard.cgi" 对"st"和"keywords"参数缺少充分过滤，提交包含恶意SQL命令的数据作为参数，可更改原来的SQL逻辑，可能获得敏感信息或修改数据库。

<*来源：Alexander Anisimov （anisimov@ptsecurity.com）

链接：http://marc.theaimsgroup.com/?l= ... 21654705580&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Alexander Anisimov （anisimov@ptsecurity.com）提供了如下测试方法：

http://host/support/ikonboard.cg ... l=nickname&st=1'

http://host/support/ikonboard.cg ... DE=01&keywords='&type=name&forums=all&search_in=all&prune=0

建议：
--------------------------------------------------------------------------------
厂商补丁：

Ikonboard.com
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ikonboard.com

qq310926是我唯一用号，除此之外有其他号码号自称邪八冰血封情，则非本人。

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 重要安全公告{ Security Advisory Bulletin } » 漏洞分析[ Vulnerability Analyse ] » [转载]Ikonboard ikonboard.cgi远程SQL注入漏洞