热门 DuomiCMS前台SQL注入

时间:2016-12-30   作者:webbaozi   分类: 代码审计   热度:1905°    
时间:2016-12-30   分类: 代码审计    热度:1905  
一、背景 1. duomicms在SQL防注入方面做了2层安全检测,第一层检测是在代码入口处,使用了360的简易WAF规则。第二层是在数据库查询入口处使用了dedecms的SQL检测函数。 2. duomicms使用了伪全局变量,对GET/POST/COOKIE中的变量做了addslashes 由上可知要完成注入的必要条件有: 1. 注入点无单引号保护 2. 绕过文件入口处的360WAF规则和数据库查询入口处的dedecms SQL检查函数。 二、注入点 /interface/comment/api/index.php文件中的Readrlist函数: ...

阅读全文>>

返回顶部    首页    手机版本   
版权所有:baozi|学与用    站长: webbaozi  蜀ICP备16032848号-1