OpenBB board.php远程SQL注入漏洞
来源:岁月联盟
时间:2009-11-16
OpenBB 1.0.5-1.1.0漏洞描述:
BUGTRAQ: 7404
OpenBB包含的’board.php’脚本对输入缺少充分检查,远程安全者可以利用这个漏洞插入任意SQL命令到数据,导致信息泄露,数据破坏。
board.php脚本对FID参数过滤不充分,安全者只要在参数数字后增加空格值,就可以在后面追加相关的SQL命令,注入恶意SQL命令可以导致数据库信息泄露,或破坏数据库。<*参考
http://www.openbb.co.uk/
*>
测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有安全性,仅供安全研究与教学之用,风险自负!http://vulnerable/board.php?FID=2 <something>SEBUG安全建议:
厂商补丁:
OpenBB
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.openbb.co.uk/
