1
Web技术
日志阅读:5674
日志评论:1

Sax2.0-20080806注入漏洞解决方案

该日志由 samool 发表于 2008-08-06 9:59 AM

漏洞描述:http://www.80sec.com/sablog-sql-injectio.html

Sablog1.6和Sax2.0都有这个问题,算是小BUG吧,在sablog的trackback.php中的转码函数存在问题,当$encode为GBK字符集的时候,用户提交%bf’将会被转化为一个正常的UTF-8字符和一个单引号,如果数据未加处理进入数据库将导致SQL注射。

官方已经发布了最新的补丁文件,如果你的博客已经禁止trackback功能,可以完全不用理会这个漏洞。不过出于安全考虑,还是提供一下解决方法。漏洞解决方法是不转换编码,现在UTF-8编码才是王道,转不转换无所谓啦,如果你是非UTF-8编码的话,发过来的trackback就是乱码,呵呵。官方提供的补丁文件是Sablog1.6的,并没有提供Sax2.0预览版补丁,其实Sablog1.6和Sax2.0的trackback.php文件基本上差不多,只需要修改两个地方就可以了,详看补丁文件,强制修改编码为UTF-8就OK了。

» 阅读该日志全文...

该日志标签: sax2, sablog2, 补丁

2
工具软件
日志阅读:5295
日志评论:1

windows XP通过正版验证补丁

该日志由 samool 发表于 2006-05-07 5:54 PM

适合所有XP SP2 VOL VLK系列!
适合所有番茄花园XP系列!

» 阅读该日志全文...

该日志标签: xp, 补丁, 正版