[翻译]Invision Community Blog中存在SQL注射漏洞

本文作者： 剑心[B.C.T]
文章出处： 原创翻译
翻译网站： http://www.bnso.net
发布日期： 2005-1-12
漏洞主题:Invision Community Blog中存在SQL注射漏洞
发布日期:2005.1.9上午4:51
公告作者:darkhawk matrix <darkhawk matrix gmail com>
公告ID:<20050109045132.10139.qmail@www.securityfocus.com>
漏洞说明:
Invision Community Blog<http://www.invisionblog.com/>是一款强大的允许直接向Invision Power Board追加记录的博客系统。他允许你的会员建立他们自己独立的Blog。而且Invision Community Blog有着很友好的用户交互界面。
由于不正确的eid变量的有效性检查，它使得攻击者构造一个sql查询。
攻击示例:
http://website/forum/index.php?a ... d=4%20injectionhere