index.php后台漏洞,MyWebSQL 'index.php'跨站脚本漏洞

最新推荐文章于 2023-04-11 17:54:09 发布
最新推荐文章于 2023-04-11 17:54:09 发布
阅读量302 收藏
点赞数
文章标签: index.php后台漏洞

发布日期:2014-09-03

更新日期:2014-09-04

受影响系统:

MyWebSQL MyWebSQL 3.4

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 69553

CVE(CAN) ID: CVE-2014-4735

MyWebSQL是基于web的MySQL数据库管理工具。

MyWebSQL 3.4及其他版本没有有效过滤传递到"/index.php"脚本的"table" HTTP GET参数值,这可使远程攻击者诱使管理员打开构造的链接在有漏洞的站点上下文浏览器中执行任意HTML和脚本代码。

*>

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://www.example.com/?q=wrkfrm&type=exporttbl&table=%27;%3C/script%3E%3Cscript%3Ealert% 28%27immuniweb%27%29;%3C/script%3E

建议:

--------------------------------------------------------------------------------

厂商补丁:

MyWebSQL

--------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

0b1331709591d260c1c78e86d0c51c18.png

weixin_39625782
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nuked-klan UTF8 PL-开源
07-01
Nuked-klan 是一个面向在线游戏社区的 PHP 系统门户网站,它允许您管理 CS、CSS、CoD、SoF2 等游戏或管理、监控游戏服务器和许多其他功能。 网站:http://www.nuked-klan.pl
php act index漏洞,入侵检测PHP程序中的目录遍历漏洞 's | CN-SEC 中文网
weixin_35079944的博客
03-22 587
鬼仔注:老文章了,我从冷漠那里转来的,冷漠那里也没有注明作者,如果本文作者看到这篇文章,或者其他知道本文作者是谁的话,请提醒下,谢谢。信息来源:冷漠's Blog目录遍历漏洞在国内外有许多不同的叫法,比如也可以叫做信息泄露漏洞,非授权文件包含漏洞.名称虽然多,可他们却有一个共同的成因,就是在程序中没有过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文...
bo-blog index.php include任意php文件漏洞
06-19 1307
文章作者:我非我[F.S.T]信息来源:邪恶八进制信息安全团队(www.eviloctal.com)注意:本文首发火狐技术联盟(www.wrsky.com) 并由火狐成员我非我友情提交到邪恶八进制信息安全团队这就是我渗透八进制的漏洞。官方已发补丁。漏洞发现日期:2005.6.13漏洞涉及版本:Bo-Blog Version 漏洞分析及利用:刚发现bo-blog的一个致命的漏洞。我是看1.7.009
php act index漏洞,浅析PHP程序中的目录遍历漏洞
weixin_35906775的博客
03-22 282
这类漏洞主要是存在与基于PHP+TXT结构的程序中,漏洞代码也是来自于一个国外的BLOG,代码如下:$act=$_GET['act'];if($act==''){include("blog.txt");}else{include("act/$act.txt");}?>$blog_id=$_GET['blogid'];if($blog_id==''){include("blog.txt");}...
php act index漏洞,检测PHP程序中的目录遍历漏洞
weixin_35334000的博客
03-22 293
Beats By Dr Dre Studio Pittsburgh Steelers HighDefinition UK:Beats By Dr.Dre Studio Colorful Champagne Limited Edition UK,Beats By Dr.Dre Studio Colorware Chrome Limited Edition UK,Beats By Dr.Dre Stu...
Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞
m0_46699477的博客
04-11 1319
瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
基于PHP的MyWebSQL php数据库管理.zip
07-22
MyWebSQL是一款基于Web的开源数据库管理工具,它允许用户通过浏览器来管理和操作数据库,尤其适合于PHP环境下的开发者和管理员。这款应用采用PHP编写,提供了直观的图形用户界面(GUI),使得数据库管理变得更加便捷...
PHP实例开发源码—MyWebSQL php数据库管理.zip
11-11
1. PHP基础:MyWebSQL的实现离不开PHP语言,它是一种广泛用于Web开发的服务器端脚本语言。PHP可以嵌入HTML中,执行效率高,语法灵活,特别适合处理动态网页内容。了解PHP的基础语法、变量、控制结构、函数、类和对象...
PHP实例开发源码-MyWebSQL php数据库管理.zip
10-15
PHP实例开发源码-MyWebSQL php数据库管理.zip】是一个包含PHP源代码的压缩包,主要用于实现基于Web的MySQL数据库管理系统。MyWebSQL是一个开源项目,它允许用户通过浏览器来管理和操作数据库,提供了一个直观的...
mywebsql-3.2.zip_php mysql 触发器
09-23
MyWebSQL是一个基于Web的MySQL数据库管理客户端,类似phpMyAdmin,但界面更好看。除了操作表格数据外,MyWebSQL还可以对包括视图,存储过程,触发器和函数在内的对象进行控制。支持数据和查询结果的导入\导出。...
基于PHP的MyWebSQLphp数据库管理源码.zip
最新发布
08-27
1. **PHP基础**:MyWebSQL是用PHP编写的,这是一种广泛使用的开源脚本语言,特别适合于Web开发。了解PHP的基础语法、函数库以及面向对象编程概念对于理解和修改MyWebSQL的源代码至关重要。 2. **Web应用程序**:...
php文件包含漏洞解决方法,DzzOffice 1.2.2 /index.php 本地文件包含漏洞
weixin_39841825的博客
03-29 818
Index.php$dzz = C::app();$mod = getgpc('mod');$mod = !empty($mod) ? $mod : '';$op = !empty($_GET['op']) ? $_GET['op'] : 'index';$cachelist = array();$dzz->cachelist = $cachelist;$dzz->init();//...
ecshop 解密index.php,ECShop 2.x 3.0代码执行漏洞分析
weixin_33356544的博客
03-19 246
0x00 前言ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。2.x版本跟3.0版本存在代码执行漏洞。0x01 漏洞原理ECShop 没有对 $GLOBAL[‘_SERVER’][‘HTTP_REFERER’] 变量进行验证,导致用户可以将任意代码插入的user_passport.dwt模板中,随后insert_mod根据模板内容动态执行相应的函数,用户插入恶意代码导致...
PHP安全Web攻击
myliujx的博客
08-21 422
常见的web攻击及防范措施
ThinkPHP 5.0 * 远程代码执行漏洞分析
热门推荐
a1b2c3是弱口令
01-11 1万+
ThinkPHP 5.0 * 远程代码执行全版本通杀 本文主要以官网下载的5.0.23 完整版(thinkphp_5.0.23_with_extend.zip)为例分析。 Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php) 该类可以实现对HTTP请求的一些设置。 其中成员函数method用来获取当前请求类型,其定义如下: ...
ecshop管理找不到index.php,解决忘记ecshop后台管理员密码的三种方法(3)
weixin_36194102的博客
03-18 267
方法3:进入phpMyAdmin里面修改找到你的网站数据库名,进入找到数据表 ecs_admin_user 如图修改数据表,如图这样你的帐号,就是admin 密码 12345PS:注意PASSWORD哪一行,函数选择 MD5 , 然后在后面的输入框里输入你想要的新密码(如:12345) 即可。点击“执行”进行保存,然后你就可以使用 新密码 12345 登陆后台管理了。ECshop 7.3.0版本的...
PHP文件包含漏洞小结
Zeker62的博客
08-27 190
参考链接:https://chybeta.github.io/2017/10/08/php文件包含漏洞/ 四大漏洞函数 PHP文件包含漏洞主要由于四个函数引起的: include() include_once() require() require_once() require()/require_once():如果在包含过程中有错,那么直接退出,不执行进一步操作。 include()/i...
index.php m admin,PHPCMS V9最新注入漏洞 暴管理员密码
weixin_31759829的博客
03-10 1201
发布作者: 俺也不知道发布日期:2012.09.7漏洞类型:SQL注入默认后台index.php?m=admin主要利用过程:注册一个用户http://www.8090sec.com/index.php?m=member&c=index&a=register&siteid=1访问api文件,爆出表前缀,默认的表前缀为v9http://www.8090sec.com/api...
phpmyadmin后台文件包含漏洞分析
nareku的博客
04-10 5949
前言 在墨者学院看到这道题给的标签是文件包含,就想着拿来练练手,果然不练不知道一练吓一跳,里面还是有很多我没学到和不懂的知识,所以就打算单独拿出来写一篇博客来记录一下。
文件包含漏洞
YouthBelief的博客
10-21 803
文件包含漏洞文件包含漏洞(属于任意代码执行)0x01背景介绍0x02漏洞成因#常见漏洞代码:触发漏洞的条件:0x03漏洞分类0x04 漏洞危害0x05漏洞利用本地文件包含、1. 包含上传的图片2.1读文件 index.php?file=/etc/passwd2.2读PHP文件    php://filter/read=convert.base64-encode/resource=1.txt2.3包含日志文件Getshell(首先找到日志文件存放位置,让日志文件插入php代码,包含日志文件)远程文件包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值