WordPress Store Locator Plus 插件'query'参数SQL注入漏洞

最新推荐文章于 2025-08-08 22:24:59 发布
转载 最新推荐文章于 2025-08-08 22:24:59 发布 · 75 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/security4399/archive/2013/01/11/2855938.html
文章标签:

#php

WordPressStoreLocatorPlus插件3.8.6及之前的版本中存在一个SQL注入漏洞。该漏洞源于downloadcsv.php文件中的query参数未进行充分验证,攻击者可通过此漏洞执行任意SQL代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞版本:
WordPress Store Locator Plus Plugin 3.x
漏洞描述:
BUGTRAQ  ID: 57222

WordPress Store Locator Plus插件可以在站点上放置一个商铺搜查程序。

WordPress Store Locator Plus 3.8.6及之前版本没有正确验证wp-content/plugins/store-locator-le/downloadcsv.php内的"query"参数值,通过注入任意SQL代码,可被利用操作SQL查询。
<* 参考
http://www.securityfocus.com/bid/57222/info 
http://www.securelist.com/en/advisories/51757
*>

转载于:https://www.cnblogs.com/security4399/archive/2013/01/11/2855938.html

Kali linux 2016.2(Rolling)中的auxiliary模块详解
weixin_33858336的博客
11-15 1780
root@kali:~# msfconsole ______________________________________________________________________________ | ...
[转]高负载并发网站架构分析
bluehire的专栏
12-23 2万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
高负载高并发网站架构分析
热门推荐
Steven_ssm的博客
08-28 3万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流  msn: defender_ios@hotmail.com  ———————————————————————————————————————   初创网站与开源软件 6   谈谈大型高负载网站服务器的优化心得! 8   Lighttpd+S
Web测试工具和管理工具 集合
释然乌托邦的专栏
05-10 2万+
Web Site Test Tools and Site Management Tools <br /> More than 500 tools listed in 13 categories <br />Organization of Web Test Tools Listing - this tools listing has been loosely organized into the following categories : Load and Performance Test T
网页编程相关工具 压力测试等
10-08 6353
原地址:http://www.softwareqatest.com/qatweb1.htmlWeb Site Test Tools and Site Management Tools <br />More than 480 tools listed in 13 categories <br />Organization of Web Test Tools Listing - this tools listing has been loosely organized into the following ca
Gamestop Store Locator NoMap-crx插件
04-04
gamestop store locator nomap是谷歌Chrome的简单扩展名将允许在打开GameStop.it站点的定位器存储上的任何产品的可用性映射时,从Google地图脚本从页面中删除,并用一张平庸的桌子替换地图,绝对更容易阅读,以便...
vue-store-locator:使用Vue构建自定义Google Map Store定位器的示例
05-08
商店定位器 描述 此仓库是如何在Vue中构建商店定位器的示例。 它利用和 。 在构建此示例之前,我搜索了一个很好的示例,但没有找到一个成功的示例。 因此,我决定在与我相同的情况下构建一个并与其他人共享代码。...
WordPress插件2022年最新版完整功能demo+插件v1.0.2.zip
04-22
YITH Store Locator for WordPress 它是WordPress的第三个商店定位器" ---------- 泰森云每天更新发布最新WordPress主题、HTML主题、WordPress插件、shopify主题、opencart主题、PHP项目源码、安卓项目源码、ios...
WordPress插件2022年最新版完整功能demo+插件2.1.zip
04-04
Social Store Locator - Reviews & Ratings Add-on 社交商店定位器 - 评论和评分加载项" ---------- 泰森云每天更新发布最新WordPress主题、HTML主题、WordPress插件、shopify主题、opencart主题、PHP项目源码、...
WordPress插件2022年最新版完整功能demo+插件v4.2.1.zip
04-22
WP Multi Store Locator Pro WP多商店定位器Pro" ---------- 泰森云每天更新发布最新WordPress主题、HTML主题、WordPress插件、shopify主题、opencart主题、PHP项目源码、安卓项目源码、ios项目源码,更有超10000个...
【BUUCTF系列】[极客大挑战 2019]Secret File 1
2402_84408069的博客
08-08 897
技术文章摘要本文分析了一个文件包含漏洞的利用过程。通过F12开发者工具和Burp抓包发现隐藏的secr3t.php文件,其源码存在文件包含功能但过滤了../、tp等关键词。研究采用php://filter伪协议绕过防护,通过Base64编码读取flag.php内容。最终解码获取flag,完整演示了从信息收集到漏洞利用的全流程。文末特别强调技术研究的合法边界,要求所有测试必须获得授权,并遵守最小影响原则和数据保护法规。
PHP-分支语句、while循环、for循环
m0_46471716的博客
08-04 940
default 标签和 if 中的 else 子句一样,它不是 switch 语句中必需的,可以。else if 语句和 else 语句一样,它延伸了 if 语句,else if 语句会根据不同的表达式来确定执行哪个语句。在上面的 else if 的语法中,如果第一个“判断条件 1”为 TRUE,则执行“语句块 1”语句;else 语句延伸了 if 语句,可以在 if 语句中表达式的值为 FALSE 时执行相应的语句。与 if 语句相同的是,如果“语句块 1”和“语句块 2”中都只包含一条语句的话,可。
ctfshow_萌新web9-web15-----rce
最新发布
hello_mszcc的博客
08-08 352
反引号``, 可以执行系统命令, 并返回一个字符串类型的变量, 用来保存命令的执行结果, 需要注意的是, 反引号``中的命令会先被执行并将结果以字符串类型的变量返回, 而后再参与到其他代码的执行, 类似一个函数。但是双引号中插入单引号,如果变量存在的话,还是可以执行的;其中的内容不会经过解释(\n不会输出为换行,而是直接输出),即内容会与输入的内容一致,的过滤, 我们可以使用?双引号中的内容将会被解释,即解析内容中的变量。
基于PHP的快递管理系统的设计与实现
weixin_47958760的博客
08-06 451
管理员: 登录:管理员可以通过用户名和密码登录系统,进入管理员后台管理界面。 个人中心:管理员可以查看和编辑个人信息,如姓名、联系方式等。 用户管理:管理员可以管理系统中的用户信息,包括添加新用户、编辑用户信息、查看用户列表、禁用或删除用户等操作。 取件通知管理:管理员可以管理取件通知,包括查看取件通知列表、发送取件通知、修改取件通知内容等。 快递信息管理:管理员可以管理系统中的快递信息,包括录入快递信息、查看快递详情、修改快递状态等操作。 取件信息管理:管理员可以管理用户的取件信息,包括记录用户的取件时间
从「同步」到「异步」:用 aiohttp 把 Python 网络 I/O 榨到极致
Y234567890_的博客
08-05 945
本文探讨了Python中IO瓶颈问题及异步编程优势。通过对比同步请求、线程池和异步协程三种方案下载100张图片的性能表现,展示了aiohttp框架在并发处理上的高效性。同步方案耗时22秒,20线程池降至2.7秒,而异步方案仅需2.4秒且内存占用更低。文章详细解析了aiohttp客户端/服务端实现,包括连接控制、错误处理和流量限制等关键点,并对比了同步与异步的心智模型差异。最后给出实践建议:aiohttp适合高并发网络IO场景,但不适用于CPU密集型任务。异步编程的核心价值在于最大化利用CPU资源,将等待时间
Java实现与PHP兼容的MD5加密技术详解
wolf23151269的博客
08-05 688
本文介绍了Java实现与PHP兼容的MD5加密技术。主要内容包括:MD5算法特性概述;Java中实现与PHP结果一致的MD5加密方法,重点解决字符编码差异问题;提供性能优化版本和文件MD5校验扩展实现;讨论了MD5的安全局限性和替代方案(如SHA-256、bcrypt)。文章通过测试用例验证了Java与PHP的MD5结果一致性,并解答了常见问题。虽然MD5已不推荐用于安全场景,但在非安全领域仍有应用价值。
网络拨测和业务拨测是什么意思
Mr_wilson_liu的博客
08-06 605
是IT运维和监控中常用的两种测试方法,用于评估网络或业务系统的健康状态、性能及可用性。它们的侧重点不同,但目的都是提前发现潜在问题,保障系统稳定运行。网络拨测是通过模拟用户访问网络的行为(如发送ICMP、TCP、UDP等协议的数据包),检测网络链路的连通性、延迟、丢包率、抖动等基础指标,验证网络是否通畅。业务拨测是通过模拟真实用户操作(如HTTP请求、数据库查询、API调用等),验证业务系统的功能是否正常、响应是否符合预期,直接反映业务可用性。
K8S 性能瓶颈排查
weixin_43273856的博客
08-05 96
Kubernetes性能瓶颈排查指南摘要 随着业务增长,Kubernetes集群常出现性能问题。本文系统梳理了性能瓶颈排查的全景视角:从集群层面(API Server、Etcd)、节点层面(CPU/内存)、Pod层面(OOM/冷启动)、网络(DNS延迟)到存储(PVC挂载)等维度,提供了关键指标监控方法和常用工具矩阵(Prometheus、kube-state-metrics等)。特别强调建立全链路可观测体系,通过分层级监控(集群-节点-Pod)和精细化分析(网络/存储)来快速定位瓶颈,而非盲目排查。
本地部署数据库管理系统 Adminer 并实现外部访问
lyxnwct的博客
08-06 352
Adminer 是一款轻量级开源免费的数据库管理工具,支持多种数据库引擎,提供了图形化界面。允许用户允许通过浏览器来管理常见数据库,适合个人开发到企业级应用的数据库管理需求。本文将详细介绍如何在本地通过 XAMPP 安装 Adminer 以及结合路由侠内网穿透实现外网访问 Adminer。
利用Query URL Parser插件解析URL参数
在没有Query URL Parser插件的情况下,我们可以使用JavaScript原生方法和jQuery结合来获取URL中的查询参数。一个通用的方法是利用`window.location`对象,它包含了当前URL的各种信息。 比如,要获取参数“id”的值...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值