ajax不能访问本地php,Osclass \'ajax.php\'本地文件包含漏洞

最新推荐文章于 2022-07-11 07:37:00 发布

御坂1995

最新推荐文章于 2022-07-11 07:37:00 发布

阅读量109

点赞数

文章标签： ajax不能访问本地php

Osclass \'ajax.php\'本地文件包含漏洞

发表日期：2015-01-19 14:04:59

Osclass \'ajax.php\'本地文件包含漏洞

BugTraq-ID:71841

CVE-ID:CVE-2014-8084

发布日期：2014-12-31

更新日期：2015-01-12

受影响系统：

Osclass Osclass <= 3.4.2

详细信息：

Osclass是免费的网站分类广告脚本。

Osclass 3.4.2及之前版本中，oc-includes/osclass/controller/ajax.php存在目录遍历漏洞，远程攻击者通过自定义操作内ajaxfile参数中的“..”，利用此漏洞可包含并执行任意本地文件。

来源：

Egidio Romano

解决办法：

厂商补丁：

Osclass

-------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://blog.osclass.org/2014/10/09/osclass-3-4-3-ready-download/

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

御坂1995

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

【漏洞复现】泛微e-office系统ajax.php接口存在任意文件上传漏洞

失心少年

04-18

352

技术文章仅供参考，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、荣誉和利益，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习，禁止用于其他！泛微 E-Office 9.5版本存在代码问题漏洞，泛微e-office系统ajax.php接口存在任意文件上传漏洞。漏洞链接：http://127.0.0.1/E-mobile/App/Ajax/ajax.php?

2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)

最新发布

面向感觉挖洞，背向对象编程。欢迎关注VX公众号：EureKa安全团队

08-21

3338

2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总，截止目前已更新到91个漏洞，本文会实时更新，有新的漏洞都会加上

参与评论您还未登录，请先登录后发表或查看评论

ajax不能访问本地php文件,php – 使用htaccess拒绝ajax文件访问

weixin_39721853的博客

04-10

146

坏：Apache ????X请求 – 不是标准的HTTP Header.你根本无法读取它(apache)ReWriteCond％{HTTP_X_REQUESTED_WITH}也不是％{HTTP：X-Requested-With}),所以它不可能在.htaccess或相同的地方检查它. ????丑：脚本:-(它只是在脚本中访问(例如php),但是你说你不想在所有的脚本中包含一个php文件,因为文件数量.好：au...

PHPYun /uploads/member/ajax.class.php SQL注入漏洞

_404root的博客

08-04

777

PHPYun /uploads/member/ajax.class.php SQL注入漏洞 PHPYun简介 PHP云人才管理系统，专业的人才招聘网站系统开源程序，采用PHP和MySQL 数据库构建的高效的人才与企业求职招招聘系统，在尊重版权的前提下能极大的满足站长对于网站程序进行二次开发。漏洞原理参数未过滤，直接被带入到SQL语句中进行查询，导致注入漏洞的产生漏洞分析查看/uploads...

ajax漏洞 sql注入,易想团购ajax.php SQL注入分析和Exp漏洞预警 -电脑资料

weixin_29696999的博客

08-06

505

在注册的时候，输入用户名后台会验证用户名是否存在，当然是通过ajax去验证的也就是ajax.php，* 验证会员数据 */ function check_user($field_name,$field_data) { //开始数据验证 $user_data[$field_name] = $field_data; $res = array('status'=>1,'info'=>'',...

ajax不支持php,PHP会话不能使用JQuery Ajax？

weixin_33138675的博客

04-04

106

更新,解决：毕竟,我发现我在更新ajax中调用了旧版本的代码.‘boardControl.php’而不是’boardUpdate.php’这些是使编程变得有趣的错误.我正在写一个浏览器gomoku游戏.我有ajax声明,允许玩家玩一块.$(document).ready(function() {$("td").live('click',function(){var value = $(this)....

50个非常有用的PHP工具.pdf

10-10

标题提及的《50个非常有用的PHP工具.pdf》是一份包含多种PHP开发工具的资源集合，这些工具覆盖了从调试、测试、优化、文档生成、安全防护到代码处理和项目管理等多个方面，对于PHP开发者来说极具价值。以下将对部分...

PHP 学习路线

墨鱼菜鸡

07-11

3506

PHP 官网文档(中文)：https://www.php.net/manual/zh/langref.php ThinkPhp (官方手册、入门教程)：https://sites.thinkphp.cn/1556331 W3School PHP 教程：http://www.w3school.com.cn/php/index.asp w3cschool...

PHP 最新精品面试题

weixin_43681591的博客

01-13

2936

1、酒店预订怎么实现？怎么设计表你好，我大概的说下我们的业务流程，我们的业务流程是：用户在网站浏览酒店信息，可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由：酒店的名称，酒店图片，酒店位置，评论人数，评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面，查看酒店的介绍以及酒店的房型列表，用户根据他要入住的时间和离店的时间，检索出这个时间段内的所有可选房型（房间数量-当天的订...

php面试题汇总（必会）

pz_winner的博客

11-08

3200

了解Ajax漏洞

cuyi7076的博客

06-24

715

存档日期：2019年4月22日 | 首次发布：2012年5月1日异步JavaScript + XML（Ajax）不是网络技术；它是专门创建用于构建动态Web应用程序的技术的集合。由于其功能范围和易用性，Ajax是当今构建Web应用程序使用最广泛的工具之一。所有应用程序，包括使用Ajax技术构建的应用程序，都容易受到破坏网站和驱动它们的数据库的攻击。在本文中，了解有关Ajax技术的...

php ajax 参数,本地ajax请求能否像php服务器一样，根据参数返回对应的数据？？...

weixin_42510446的博客

03-10

问题描述的不够清楚，你说的获取本地json文件是指：xhr.open('post' , url , true) 这边的 url 不是类似：php/test.php 这样的服务器脚本而是 test.json 这样的？？若是不通过php这样的服务器脚本来调度数据的话，直接请求文件内容也是可以的。例如：这里有三个 json 文件： test.json , test1.json ,test2.jsonjs...

ajax 禁止跨域,AJAX_解决AJAX中跨域访问出现''没有权限''的错误，禁止访问非同域的网站,下面一 - phpStudy...

weixin_34168228的博客

08-07

299

解决AJAX中跨域访问出现''没有权限''的错误禁止访问非同域的网站,下面一个例子来访问http://www.google.cn,function createobj() {if (window.ActiveXObject) {return new ActiveXObject("Microsoft.XMLHTTP");}else if (window.XMLHttpRequest) {return...

wordpress admin-ajax.php 漏洞,wordpress 中使用自带 admin-ajax.php

weixin_42252122的博客

03-19

761

1前端页面jQuery.ajax({type: 'POST',url: "",data: {action: 'myajax_submit'},success: function(res) {console.log(JSON.stringify("--"+res));}});2 后端functions.php里面接受请求add_action( 'wp_ajax_nopriv_myajax_submi...

php漏洞集合

weixin_50683638的博客

10-11

2333

第三章常见的php漏洞集合 1.sql注入漏洞 0x01 注入介绍 1.什么是sql注入用户输入的参数被当成sql语句在数据库里执行，这就是sql注入漏洞 2.sql注入的危害 sql注入轻则获取数据库信息，重则获取服务器权限。 0x02 搭建sqli-labs靶机 0.介绍 SQLI-LABS是学习SQLI的平台 sqli-labs下载链接：https://github.com/Audi-1/sqli-labs 环境：phpstudy+windows10 1.创建网站（注意php版本选择5.6） 2

ajax调用本地模拟数据（json文件或php文件）

weixin_41466434的博客

05-13

2502

注：因为涉及跨域访问，所以必须将文件放置在phpstudy的PHPTutorial的www的文件夹下，并开启phpstudy 一、ajax调用php文件 <body> <span class="content"></span> </body> <script> $(function(){ function getDa...

本地端口模拟ajax异步请求php文件

毛球Josey

05-10

925

之前在使用gulp本地模拟ajax方法时，遇到了一个问题：在访问php文件时，返回的文件总是出错。我一度以为是php文件出错，但由于该文件是随书本附带的源码内容，这种情况的可能性在我心中的地位降低了。解决方法是：本地需要搭建php配置环境。使用的软件是wamp。配置方法及测试参考：http://blog.csdn.net/pannikin/article/details/54095100

改良版ajaxfileupload.js：AJAX上传文件与PHP结合实战

在前端开发中，实现异步文件上传是一个常见的需求，而Ajax技术可以做到在不刷新整个页面的情况下完成文件上传。jQuery虽然没有内置的文件上传函数，但有很多第三方插件可以解决这个问题，如ajaxfileupload.js。这个...