本文作者： 剑心[B.C.T] http://www.bnso.net/
文章出处： 原创翻译
阅读次数： 9
发布日期： 2005-1-1
漏洞内容:IBProArcade的sql注入漏洞
发布日期:2004.12.31下午1:19
公告来源:http://www.securityfocus.com/archive/1/385851
公告作者:mike bailey
公告ID号:<20041231131901.12315.qmail@www.securityfocus.com>

在IbProArcade中的最高历史记录模块存在一个权限，从而允许在使用的数据库里执行恶意的sql代码。漏洞威胁:http://www.ibproarcade.com/index ... s&gameid=104FOO在以下的目录里修补该漏洞.打开sources/Arcade.php文件，寻找如下代码

复制内容到剪贴板

代码:

     
     //----------------------------------------
     // Show_Stats
     //
     // This shows the leaderboard
     //
     //----------------------------------------

     function show_stats() {

          global $ibforums, $DB, $std;

Directly under that, add..

复制内容到剪贴板

代码:

if(!is_numeric($ibforums->input['gameid']))
       {
          $std->Error( array( 'LEVEL' => 1, 'MSG' => 'dont_try_it') );
       }

then open up your lang/en/lang_Arcade.php file scroll down to the bottom where you
will find

复制内容到剪贴板

代码:

);

?>

right above that, add this:

复制内容到剪贴板

代码:

#security
dont_try_it         => "I don't think so annie."

And you&#39;re set.

十分感谢 虾子阿饼 经常发漏洞翻译到EST 修改头衔论坛贵宾

引用:

下面是引用冰血封情于2005-01-02 02:16发表的:
十分感谢 虾子阿饼 经常发漏洞翻译到EST 修改头衔论坛贵宾

你还不如把BugReport包给我做算了！哈哈哈！！！
我们小组都是针对Web程序的漏洞翻译啊！所以不是天天都有新东西啊！