| |
|
所有版本 PHP-Nuke 存在 SQL injection 攻击缺陷
所有版本 PHP-Nuke 存在 SQL injection 攻击缺陷 (MS,补丁) 涉及程序: 所有版本 PHP-Nuke 描述: 所有版本 PHP-Nuke 存在 SQL injection 攻击缺陷 详细: PHP-Nuke 是一款强大的 php+mysql 大型网站架站程序。 所有版本的 PHP-Nuke , 包括最近发布的版本 6.0 , 都存在一个简单的 SQL injection 攻击缺陷。远程/本地攻击者可利用此缺陷进行基本的拒绝服务攻击。 比如,攻击者可通过构建一简单攻击脚本,发送类似如下请求给服务器: http://www.nukesite.com/modules.php?name=News &file=article&sid=1234%20or%01=1 稍等一会,目标服务器就会因为不堪重负而无法访问。但只要攻击一停止,几分钟之后服务器就又会恢复正常。 能够强发给服务器的畸形请求数目依赖于不同 MySQL 服务器的参数和硬件设置,但是我们所测试过的 php-nuke 站点一般都存在此安全缺陷,容易遭到 SQL injection 攻击。 攻击方法: 攻击者可通过构建一简单攻击脚本,发送类似如下请求给服务器: http://www.nukesite.com/modules.php?name=News &file=article&sid=1234%20or%01=1 稍等一会,目标服务器就会因为不堪重负而无法访问。但只要攻击一停止,几分钟之后服务器就又会恢复正常。 解决方案: 厂商目前还没有提供补丁或修复程序,建议用户随时关注厂商站点。 临时解决方案: 使用过滤器,对请求进行过滤。 |
| Copyright By「黑白网络工作室」2002 All Rights Reserve |