W-Agora:修订间差异
来自站长百科
Spider.flynn(讨论 | 贡献) 无编辑摘要 |
无编辑摘要 |
||
第8行: | 第8行: | ||
==使用说明== | ==使用说明== | ||
==相关资讯== | |||
W-Agora editform.php远程PHP文件包含漏洞 | |||
W-Agora是一款免费开放源代码的PHP论坛程序,可使用在Unix和Linux操作系统下。 | |||
W-Agora中的editform.php脚本对用户提交的参数缺少正确检查,远程攻击者可以利用这个漏洞在自己控制的服务器上提供恶意PHP文件,通过指定特殊路径而包含远程PHP文件,导致以WEB进程权限在系统上执行任意命令。 | |||
editform.php脚本部分代码如下: | |||
<pre> | |||
***editform.php*** | |||
<?php | |||
# 此脚本接收"file"参数, 并追加".php"后缀, 包含在"forums/agora/"中的文件。 | |||
include ( "forums/agora" .$_GET [ "file" ] . ".php" ); | |||
?> | |||
***editform.php*** | |||
</pre> | |||
但是由于没有对'file'参数数据进行正确检查,攻击者可以指定任意路径上的文件,包括远程服务器上文件,在建立恶意PHP脚本代码的文件后,通过指定正确路径,当管理员点击链接时可导致任意命令以WEB进程权限执行。 | |||
需要注意的是,此脚本访问需要管理员登录后才能访问。 | |||
==相关资源== | ==相关资源== | ||
*'''官方地址:'''http://www.w-agora.net/ | *'''官方地址:'''http://www.w-agora.net/ |
2013年2月18日 (一) 16:55的最新版本
W-Agora是一个WEB发布和论坛软件。能够帮助站点及站点访客展示、存储信息与文件,进行讨论交流。系统开源免费、安全可靠、运行迅速、可定制化程度高,具有一般论坛程序的全部功能。
系统特征[ ]
安装说明[ ]
使用说明[ ]
相关资讯[ ]
W-Agora editform.php远程PHP文件包含漏洞 W-Agora是一款免费开放源代码的PHP论坛程序,可使用在Unix和Linux操作系统下。 W-Agora中的editform.php脚本对用户提交的参数缺少正确检查,远程攻击者可以利用这个漏洞在自己控制的服务器上提供恶意PHP文件,通过指定特殊路径而包含远程PHP文件,导致以WEB进程权限在系统上执行任意命令。 editform.php脚本部分代码如下:
***editform.php*** <?php # 此脚本接收"file"参数, 并追加".php"后缀, 包含在"forums/agora/"中的文件。 include ( "forums/agora" .$_GET [ "file" ] . ".php" ); ?> ***editform.php***
但是由于没有对'file'参数数据进行正确检查,攻击者可以指定任意路径上的文件,包括远程服务器上文件,在建立恶意PHP脚本代码的文件后,通过指定正确路径,当管理员点击链接时可导致任意命令以WEB进程权限执行。 需要注意的是,此脚本访问需要管理员登录后才能访问。
相关资源[ ]
- 官方地址:http://www.w-agora.net/
- 软件类型:开源免费
- 下载地址:下载地址1下载地址2