bluecms1.6 代码审计【失败的一次】
最新推荐文章于 2022-10-26 21:30:51 发布
本文记录了一次针对BlueCMS 1.6的代码审计过程,作者通过黑盒测试发现SQL注入和XSS漏洞。在ad_js.php中发现SQL拼接导致的注入风险,尽管有转义处理但仍有疑点。同时在include/common.fun.php中,获取IP时未对数据进行保护,可能存在注入点。在XSS方面,发现了存储型XSS漏洞。然而,文件包含漏洞利用尝试失败,可能由于环境问题。作者反思应先进行黑盒测试,以明确漏洞点,同时指出未测试的登录逻辑漏洞和环境问题。
摘要由CSDN通过智能技术生成