最后文章
点击排行
文章内容
phpMyAdmin远程PHP代码注入漏洞
修改时间:[2010/08/16 23:48] 阅读次数:[1317] 发表者:[起缘]
|
涉及程序: 描述: phpMyAdmin存在PHP代码注入问题,远程攻击者可以利用这个eval()函数执行任意PHP命令。 不过此漏洞只有当$cfg['LeftFrameLight']变量(config.inc.php文件)设置成FALSE时才有用。 phpMyAdmin在($cfg['Servers'][$i])数组变量中存储多个服务器配置,这些配置包含在config.inc.php文件中,信息包括主机、端口、用户、密码、验证类型等,但是由于$cfg['Servers'][$i]没有进行初始化,允许远程用户通过GET函数增加服务器的配置,如提交如下请求增加配置: 而eval()函数中的$eval_string字符串允许执行PHP代码,攻击者可以增加服务器配置和提交特殊构建的表名,可导致包含的恶意PHP代码被执行。 受影响系统: |
幽默笑话_PHP教程_情感文章_编程笔记_起缘中文网|免费在线阅读 版权所有 © 2008-2023 EONCN
Copyright © 2008 - 2023 WWW.EONCN.COM. All Rights Reserved