您现在的位置： 首页>>网络安全>>安全指南>>正文

　　漏洞信息

　　Army System是一款用于IPB的等级模块。

　　Army System不充分过滤用户提交的URI数据，远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。

　　问题是'army.php'脚本对'userstat'参数缺少过滤，提交恶意SQL查询作为参数数据，可更改原来的SQL逻辑，获得敏感信息。

　　BUGTRAQ ID: 16606

　　CNCAN ID:CNCAN-2006021404

　　漏洞消息时间:2006-02-13

　　漏洞起因

　　输入验证错误

　　影响系统

　　supersmashbrothers Army System 2.1

　　危害

　　远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。

　　攻击所需条件

　　攻击者必须访问Army System。

　　厂商解决方案

　　目前没有解决方案提供,请关注以下链接:

　　http://supersmashbrothers.2ya.com/

　　漏洞提供者

　　SecuBox Labs

　　漏洞消息链接

　　http://marc.theaimsgroup.com/?l=bugtraq&m=113985881820615&w=2

　　漏洞消息标题

　　Invision Power Board Army System Mod <= 2.1 SQL Injection Exploit

上篇文章：

IBM AIX存在本地溢出攻击漏洞

IBM Lotus远程拒绝服务漏洞