影响版本:biweb v5.8.5 (官方最新版)
官网: www.biweb.cn
程序说明:BIWEB商务智能网站系统是依托在ArthurXF企业应用级PHP开发框架上的大型网站系统,是由上海网务网络信息有限公司经历了5年不断的在各种大型项目中实践、总结、开发设计出来的一个快速开发、简单易用的面向对象的企业应用级PHP MVC建站系统。现由上海网务公司开源发布,共同促进行业发展。
漏洞 页面:wap\detail.php 很多个detail.php 代码都一样
By:随..风.
漏洞代码:
<?php require_once('config/config.inc.php'); require_once("class/wap.class.php");
.....
if (!empty($_GET['mod'])) { //未过滤mod by:随..风.
$strModuleID = strval($_GET['mod']); include_once(''.$strModuleID.'/config/var.inc.php'); // 直接包含 by:随..风. $objWebInit->setDBG($arrGPdoDB); $objWebInit->db(); $arrLink[] = 'mod=' . $strModuleID; }else{
..
?>
当magic_quotes_gpc=Off 截断
修复:加强过滤
查看更多关于biweb v5.8.5本地包含漏洞及修复 - 网站安全 - 自学的详细内容...