PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C 进行程序扩展等。Standard PHP Library(SPL)是其中的一个包含了接口和类的集合。 2017年4月9日,互联网上发布了一条关于PHPCMS v9存在SQL注入漏洞的新闻。根据天融信安全云服务中心初步测试,通过构造特定的URL参数提交src变量从而修改attachments.php文件,导致SQL注入攻击。
天融信安全云服务中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全漏洞将进行持续追踪。 验证结果如下:
可以看到通过注入成功获得了数据库的相关信息和数据库内数据。 经研究发现,注入点出现在/index.php?m=content |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
