新云网站管理系统UpdateUserToday过程参数过滤不足导致多个页面sql注入漏洞
来源:Sobiny's Blog
受影响系统:新云网站管理系统最新版
发现人的BLOG:http://sobiny.cn
发现日期:2006年10月中旬
发布日期:2007年6月上旬
安全综述:新云网站管理系统是一个采用ASP和MSSQL等其他多种数据库生成静态页面构建的高效网站解决方案。
漏洞描述:
先看const.asp的GetUserTodayInfo过程。
阅读全文 »
标签 ‘SQL Injection’ 下的日志
WordPress 2.2 (xmlrpc.php) Remote SQL Injection Exploit
来源:milw0rm
/*
El error, bastante tonto por cierto, se encuentra en la función wp_suggestCategories, en el archivo xmlrpc.php:
function wp_suggestCategories($args) {
global $wpdb;
$this->escape($args);
$blog_id = (int) $args[0];
$username = $args[1];
阅读全文 »
EQdkp <= 1.3.2 (listmembers.php rank) Remote SQL Injection Exploit
Top 15 free SQL Injection Scanners
鬼仔注:都是国外的,有的是linux下的,为了方便下载,我已经打包了,下载地址:
Top 15 free SQL Injection Scanners.part1.rar
Top 15 free SQL Injection Scanners.part2.rar
怀疑绑马之类的,到文中看下载链接。
来源:WEB安全手册
While the adoption of web applications for conducting online business has 阅读全文 »
Tags: SQL Injection, SQL注入Advanced SQL Injection In SQL Server Applications
/*******************************************************
作者:Chris Anley([email protected])
翻译:黯魂[S.S.T]
注意:转载请注明来自http://www.m0ther.cn,并恳请指正其中不准确之处:)
另外,译文我已经做成pdf格式文档,需要的朋友可以直接下载.
下载地址为:http://www.m0ther.cn/paper/advanced_sql_injection.pdf
********************************************************/
基于SQL server应用的高级SQL注入技术
阅读全文 »
动易网站管理系统Count\Counter.asp页面存在SQL注入漏洞
鬼仔注:
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。
h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!
信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )
发布日期:2006-12-20 应急事件响应公告(BCTCERA0611)
阅读全文 »
动易网站管理系统API_Response.asp页面存在SQL注入漏洞
鬼仔注:
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。
h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!
信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )
发布日期:2006-10-26 应急事件响应公告(BCTCERA0610)
阅读全文 »
