360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

Yourphp cookie注入漏洞

WASC Threat Classification

发现时间:

2013-09-13

漏洞类型:

SQL注入

所属建站程序:

Yourphp

所属服务器类型:

通用

所属编程语言:

PHP

描述:

目标存在cookie注入漏洞。

1.注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程

+ 展开
危害:

被注入后可能导致以下后果:

1.网页被篡改

2.数据被篡改

+ 展开
解决方案:

临时解决方案:

找到这个文件(Yourphp/Yourphp/Lib/Action/Home/OrderAction.class.php)中的如下函数:
function _initialize()
    {
        parent::_initialize();
        $this->dao=M('Cart');
        $this->sessionid =  cookie('onlineid');
    }
把这一行$this->sessionid =  cookie('onlineid');改成$this->sessionid =  addcslashes(cookie('onlineid'));

由于官方并未单独出补丁,故可参考临时解决方案,或者下载官方最新程序:

http://www.yourphp.cn/downloads/down/

备注:改动前,请做相应文件备份

SQL 注入漏洞演示

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论