yii php framework 漏洞,Yii Framework 'Search'表单字段SQL注入漏洞

最新推荐文章于 2022-12-19 20:12:33 发布

Gaosaroma

最新推荐文章于 2022-12-19 20:12:33 发布

阅读量551

点赞数

文章标签： yii php framework 漏洞

发布日期：2012-11-21

更新日期：2012-11-23

受影响系统：

yiiframework Yii Framework 1.1.8

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 56620

Yii Framework是一个基于组件、用于开发大型Web应用的高性能PHP框架。

Yii Framework 1.1.8及其他版本存在SQL注入漏洞，成功利用后可允许攻击者控制应用、访问或修改数据、利用下层数据库内的其他潜在漏洞。

建议：

--------------------------------------------------------------------------------

厂商补丁：

yiiframework

------------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

Yii 的详细介绍：请点这里

Yii 的下载地址：请点这里

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Gaosaroma

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Yii2框架反序列化漏洞复现(CVE-2020-15148)

snowlyzz的博客

10-25

1776

yii2框架反序列化漏洞复现

yii框架下的后台管理员登录操作

linux大西瓜的博客

09-20

3020

yii框架下的后台管理员登录.

参与评论您还未登录，请先登录后发表或查看评论

yii php framework 漏洞,yii框架异常处理导致的xss.md

weixin_39990410的博客

04-13

1091

最近XSS扫描器发现了一些奇怪的漏洞，对一些特征归类,查询，发现是属于yii 1.x框架。Yii是一个免费的，开源的，基于PHP的Web应用程序开发框架虽然YII 已经发布了2.x,但1.x的使用量还是很大的复现下载yii 1.xgit clone https://github.com/yiisoft/yii运行自带的blog demo当请求头带有X-Requested-With: XMLHttp...

15-PHP代码审计——yii 2.0.37反序列化漏洞

网络安全

06-06

1223

Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞，如果程序内部调用了unserialize() 反序列化时，那么程序就可能存在反序列化漏洞，攻击者可通过构造特定的恶意请求执行任意命令。影响版本： yii2 v2.0.37版本以下环境： yii-basic-app-2.0.37.tgz php7.0以上 poc： http://www.yii2.com/web/index.php?r=test/sss&.

php探针入侵,【防护方案】Yii2 反序列化远程命令执行漏洞 (CVE-2020-15148)

weixin_36012511的博客

03-28

830

一、综述近日监测到，Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数，禁用了yii\db\BatchQueryResult的反序列化，阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。Yii2 是...

CVE-2020-15148--Yii2 反序列化漏洞复现

Monica的博客

09-26

1200

简介： YiiFramework是一个基于组件、用于开发大型Web应用的高性能 PHP 框架。Yii提供了今日Web 2.0应用开发所需要的几乎一切功能。Yii是最有效率的PHP框架之一。 Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize 时，攻击者可通过构造特定的恶意请求执行任意命令。环境部署：下载地址： https://github.com/yiisoft/yii2/releases/tag/2.0.37 下载这个yii..

yiiframework官方最新版，包括源程序、api、文档

09-13

　4、表单输入和验证：YII使得收集表单输入非常容易和安全。 Yii拥有一套确保数据的有效性的验证器，它也有辅助方法和部件，显示验证失败时的错误。　5、Web 2.0部件：由jQuery的支持，YII配备了一套Web 2.0的部件...

yii快速入门教程--一个非常好的php框架

09-05

'/../../framework/yii.php'; // Yii框架的位置 $config = dirname(__FILE__) . '/protected/config/main.php'; // 当前应用程序的主配置文件的位置 // 部署正式环境时，去掉下面这行 // defined('YII_DEBUG') ...

YII快速入门教程

07-26

'/../../framework/yii.php'; // Yii框架位置 $config = dirname(__FILE__) . '/protected/config/main.php'; // 当前应用程序的主配置文件位置 // 部署正式环境时，去掉下面这行 // defined('YII_DEBUG') or ...

Yii框架之数据库配置连接、模型配置、获取具体数据、执行原生的sql语句

森森

05-31

7906

【数据库操作】MVC框架C:controller 控制器V:view 视图M：model 模型操作数据库步骤：1) 建立数据库php0507、建立数据表、写入测试数据2) 通过Yii框架连接数据库main.php3) 注意：数据库内部处理走PDO，因此需要让php开启PDO扩展。php.ini4) 测试Yii 框架是否有链接上数据库在控制器里边随便一个地方输出信息：var_d...

YII Framework框架教程之安全方案详解

12-18

本文讲述了YII Framework框架的安全方案。分享给大家供大家参考，具体如下： web应用的安全问题是很重要的，在“黑客”盛行的年代，你的网站可能明天都遭受着攻击，为了从某种程度上防止被攻击，YII提供了防止攻击的几种解决方案。当然这里讲的安全是片面的，但是值得一看。官方提供的解决方案有：如下 1. 跨站脚本攻击的防范跨站脚本攻击(简称 XSS)，即web应用从用户收集用户数据。攻击者常常向易受攻击的web应用注入JavaScript，VBScript，ActiveX，HTML或 Flash来迷惑访问者以收集访问者的信息。举个例子，一个未经良好设计的论坛系统可能不经检查就显示用户

yii框架（1.1.15）

07-08

这是yii框架修复1.1.14漏洞后的最新版本1.1.15

yii2反序列化漏洞总结

unexpectedthing的博客

03-29

4756

文章目录yii2框架反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现链子2链子3链子4链子5链子6参考链接 yii2框架反序列化漏洞复现 yii 框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架，即可以用于开发各种用 PHP 构建的 Web 应用。因为基于组件的框架结构和设计精巧的缓存支持，它特别适合开发大型应用，如门户网站、社区、内容管理系统（CMS）、电子商务项目和 RESTful Web 服务等。 Yii

yii框架非法登陆

期待的博客

09-25

366

//非法登陆 //定义构造方法，传参id，$models=null public function __construct($id,$models=null){ parent::__construct($id,$models); $session=yii::$app->session; $sid=$s

yii反序列化漏洞复现及利用

cosmoslin的博客

10-05

4845

yii反序列化漏洞 Yii框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架，即可以用于开发各种用 PHP 构建的 Web 应用。因为基于组件的框架结构和设计精巧的缓存支持，它特别适合开发大型应用，如门户网站、社区、内容管理系统（CMS）、电子商务项目和 RESTful Web 服务等。 Yii 当前有两个主要版本：1.1 和 2.0。 1.1 版是上代的老版本，现在处于维护状态。 2.0 版是一个完全重写的版本，采用了最新的技术和协议

YII2框架学习安全篇（五）文件上传漏洞

混血王子的博客

06-26

2805

最后一节，文件上传漏洞。最近几天搬家，偷了个懒几天没更了，今天继续。先看看这篇http://www.h3c.com/cn/About_H3C/Company_Publication/IP_Lh/2014/05/Home/Catalog/201408/839582_30008_0.htm 对文件上传漏洞的攻击和防御有个大概的了解。常见的简单防恶意文件上传的方法就是检验后缀名是否为正常文件的后

13_框架漏洞