12
返回列表 发新帖
楼主: ELOHIM
收起左侧

[提问] 用北极熊扫描发现kafan.cn有多个漏洞。

 关闭 [复制链接]
詩、未詺
发表于 2015-12-12 18:42:24 | 显示全部楼层
ELOHIM 发表于 2015-12-12 16:53
请问这个是SQL注入吗??

这个应该只是查询
SQL注入是SQL语句不用参数,这样可以在输入框里输入AND '1' = '1'类似这种绝对真值的条件,这样就可以查到所有列的值了

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

ELOHIM
 楼主| 发表于 2015-12-13 13:20:22 | 显示全部楼层
詩、未詺 发表于 2015-12-12 18:42
这个应该只是查询
SQL注入是SQL语句不用参数,这样可以在输入框里输入AND '1' = '1'类似这种绝对 ...

不用任何参数就可以直接查询,这样是不是也有问题呀?需要修复吗?
詩、未詺
发表于 2015-12-13 14:32:12 | 显示全部楼层
ELOHIM 发表于 2015-12-13 13:20
不用任何参数就可以直接查询,这样是不是也有问题呀?需要修复吗?

没明白你什么意思。不过基本可以肯定卡饭这个不是sql注入,因为现在好歹一个程序猿都知道怎么解决啊。。。
威斯克~生化
发表于 2015-12-13 17:25:31 | 显示全部楼层
theone 发表于 2015-12-11 23:27
感谢,除了2和3,其他好像不是discuz的。
2,3对照查了下,好像是老版本较早之前的漏洞。

能帮帮助解决解冻??
http://bbs.kafan.cn/thread-1866677-1-1.html
这个收不到卡饭的解冻邮件
ELOHIM
 楼主| 发表于 2015-12-13 20:24:02 | 显示全部楼层
詩、未詺 发表于 2015-12-13 14:32
没明白你什么意思。不过基本可以肯定卡饭这个不是sql注入,因为现在好歹一个程序猿都知道怎么解决 ...

谢谢……
詩、未詺
发表于 2015-12-13 20:34:50 | 显示全部楼层

你完全可以拉到那个网页,给他一个绝对真值的条件,肯定不能行的。

php我不太懂,但是java和C#都封装了类处理参数,无非多复制粘贴两行代码而已。。。
ELOHIM
 楼主| 发表于 2015-12-13 20:42:14 | 显示全部楼层
詩、未詺 发表于 2015-12-13 20:34
你完全可以拉到那个网页,给他一个绝对真值的条件,肯定不能行的。

php我不太懂,但是java和C# ...


好的,一会儿去看下。
麻烦问你一个问题,E类地址是怎么划分网络和主机的?
詩、未詺
发表于 2015-12-13 20:45:51 | 显示全部楼层
ELOHIM 发表于 2015-12-13 20:42
好的,一会儿去看下。
麻烦问你一个问题,E类地址是怎么划分网络和主机的?

不太懂,但是貌似E类地址不分网络地址和主机地址,因为是保留的。

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

ELOHIM
 楼主| 发表于 2015-12-13 20:46:29 | 显示全部楼层
詩、未詺 发表于 2015-12-13 20:45
不太懂,但是貌似E类地址不分网络地址和主机地址,因为是保留的。

谢谢!~

评分

参与人数 1人气 +2 收起 理由
詩、未詺 + 2 俺也没说什么有用的东西,怪不好意思的。

查看全部评分

扬帆起航
发表于 2015-12-27 10:24:39 来自手机 | 显示全部楼层
theone 发表于 2015-12-11 23:27
感谢,除了2和3,其他好像不是discuz的。
2,3对照查了下,好像是老版本较早之前的漏洞。

应该更新下dz了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 09:11 , Processed in 0.101454 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表