PageAdmin网站内容管理系统(CMS)交流论坛

注册

 

QQ登录

只需一步,快速开始

发新话题 回复该主题

4 .0存在以下3个漏洞吗? [复制链接]

1#
4.1. Web应用程序错误信息
表 1.
URL     方法     参数     Payload     风险
http://www.suiyangqu.gov.cn/e/search/search.aspx      POST      modelid      title=%25E8%25BE%2593%25E5%2585%25A5%25E6%2590%259C%25E7%25B4%25A2%25E5%2585%25B3%25E9%2594%25AE%25E8%25AF%258D&siteid=1&modelid=4999999999999999999999      中危

表 2.
类型      描述
漏洞影响:    暂无
漏洞概述:    暂无
建议解决方案:    暂无
参考链接:    http://www.php.net/manual/en/errorfunc.configuration.php#ini.display-errors
漏洞分类:    CWE-209 WASC-13 OWASP-2013A5 OWASP-2017A6

4.2. SQL注入漏洞
表 3.
URL     方法     参数     Payload     风险
http://www.suiyangqu.gov.cn/e/search/search.aspx      POST      modelid      title=%25E8%25BE%2593%25E5%2585%25A5%25E6%2590%259C%25E7%25B4%25A2%25E5%2585%25B3%25E9%2594%25AE%25E8%25AF%258D&siteid=1&modelid=4999999999999999999999      高危

表 4.
类型      描述
漏洞影响:    暂无
漏洞概述:    暂无
建议解决方案:    暂无
参考链接:    http://sebug.net/category/Sql%E6%B3%A8%E5%85%A5 http://www.owasp.org/index.php/Injection_Flaws http://www.securiteam.com/securityreviews/5DP0N1P76E.html
漏洞分类:    CWE-89 WASC-19 OWASP-2013A1 OWASP-2017A1

4.3. 跨站脚本攻击
表 5.
URL     方法     参数     Payload     风险
http://www.suiyangqu.gov.cn/index.aspx      GET      id      sublanmuid=597&id="/><iframe/src=//www.163.com//>&lanmuid=50      高危
分享 转发
TOP
2#

你这个是3.0的问题,实际也不叫漏洞,因为搜索是需要构造关键词的,但是一些安全软件认为这样会有问题,实际这种构造是很正常的,例如百度的地址一样可以构造
https://www.baidu.com/?title=25E ... 9999999999999999999

4.0不会检测漏洞,因为4.0的栏目地址已经不采用url参数这种格式,所以安全软件不会检测出这些问题。
TOP
3#

4.3. 跨站脚本攻击
表 5.
URL     方法     参数     Payload     风险
http://www.suiyangqu.gov.cn/index.aspx      GET      id      sublanmuid=597&id="/><iframe/src=//www.163.com//>&lanmuid=50      高危
版主有解决办法吗,不升级有没有解决办法,比如更改search.aspx ,如果升级4.0能平滑升级不,我看到现在还有好多bug,还不成熟
TOP
4#

麻烦管理员把此贴删除吧,有敏感信息谢谢
TOP
发新话题 回复该主题