<ruby id="5koa6"></ruby>

<ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>

首頁: 測試技術　軟件測試工具　開源軟件測試技術　軟件測試開發技術　軟件質量保證　軟件測試時代服務　軟件測試專題與軟件測試期刊　軟件測試工程師職業發展　軟件測試業界新聞　軟件測試時代活動發布　

暫時沒有公告

首頁:軟件測試網 >> 軟件測試技術 >> 軟件測試環境搭建 >> 網絡服務器 >> 查看資訊

字號: 小中大 | 推薦給好友上一篇 | 下一篇

phpMyAdmin2.1.0存在兩個漏洞

發布: 2007-7-02 21:50 | 作者: admin | 來源: | 查看: 10次 | 進入軟件測試論壇討論

phpMyAdmin ( ) 是一款管理 MySQL 數據庫的 PHP 工具，具有基于 WEB 的界面。但是發現它存在漏洞�？蛇x擇安裝新發布穩定版本：
phpMyAdmin 2.2.0。

1、目錄遍歷漏洞

攻擊者通過提供如下的 URL:

(*)

能非法訪問系統文件

有問題的代碼在：
@#include($goto);@# in sql.php and in tbl_replace.php.

2、執行攻擊者代碼漏洞

通過使用全局可寫日志文件，攻擊者能在受影響服務器上執行任意代碼。

首先，得到 Apache 配置文件以便知道日志文件存儲位置：

可以看出，日志放在：
/var/log/httpd/error_log
/var/log/httpd/access_log

然后 telnet 到端口80

# telnet 80
Trying xxx.xxx.xxx.xxx...
Connected to .
Escape character is @#^]@#.
GET

^]
telnet> quit
Connection closed.
#

在 GET 請求之后，攻擊者能將任意 PHP 代碼上傳

現在，可以用 Apache 用戶身份遠程運行命令了：

access_log&btnDrop=No?meters=ls%20-l%20/

受影響系統：
phpMyAdmin 2.1.0

解決方案：
建議:
1.使用 phpMyAdmin 2.2.0

2.用戶下載安裝補�。�

文章來源于領測軟件測試網 http://www.kjueaiud.com/

軟件測試論壇

領測軟件測試網最新更新

軟件測試技術相關文章

軟件測試培訓信息

最新軟件測試技術專題

最新領測軟件測試網新聞

軟件測試技術文章排行榜

編輯推薦
周排行
月排行

軟件測試技術分類最新內容

關于領測軟件測試網 | 領測軟件測試網合作伙伴 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖 | 友情鏈接
版權所有(C) 2003－2010 TestAge（領測軟件測試網）|領測國際科技（北京）有限公司|軟件測試工程師培訓網 All Rights Reserved
北京市海淀區中關村南大街9號北京理工科技大廈1402室京ICP備2023014753號-2
技術支持和業務聯系：info@testage.com.cn 電話：010-51297073

軟件測試 | 領測國際 | ISTQB | ISTQB官網 | TMMi | TMMi認證 | 國際軟件測試工程師認證 | 領測軟件測試網

老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

<ruby id="5koa6"></ruby>

<ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>