360鹰眼-更智能的Web安全监控系统
产品描述:
下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞
适用对象:
企业
价格服务:
目录价19.8万起
高危
Modoer V1.25 panels SQL注入漏洞
WASC Threat Classification
- 发现时间:
-
2012-11-23
- 漏洞类型:
-
SQL注入
- 所属建站程序:
-
Modoer
- 所属服务器类型:
-
通用
- 所属编程语言:
-
PHP
- 描述:
-
目标存在SQL注入漏洞。
1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。
+ 展开
2.Modoer v1.2.5点评系统的js.php脚本中未对panels变量进行处理,导致SQL注入漏洞。
if((@!include($cachefile)) || $timestamp - $_createtime_js > $cachelife) {
$panels = $panels ? explode('_', $panels) : '';
if($panels && is_array($panels)) foreach($panels as $panel) {
$where .= ($where ? " OR " : " ")."classcode like '{$panel}__'";
}
- 危害:
-
被SQL注入后可能导致以下后果:
1.网页被篡改
2.数据被篡改
+ 展开
3. 核心数据被窃取
4. 数据库所在服务器被攻击变成傀儡主机
- 解决方案:
-
请打上官方补丁:http://www.modoer.com/downloads.php?filename=modoer_1.2.5_patch_20111220.zip
如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,
点击下载
