Discuz! 官方站

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 4667|回复: 16

【补丁已出】DX1.5的notify_credit.php的注入漏洞今天又出新的攻击代码了

[复制链接]
发表于 2011-6-3 17:38:12 | 显示全部楼层 |阅读模式
本帖最后由 ihipop 于 2011-6-4 11:15 编辑

官方确实已经修复了该问题

分析见 http://ihipop.info/2011/06/2484.html#Update


请站长打补丁 速度。

只是奇怪为什么这么严重的漏洞 官方6月2号凌晨才在后台提示一个已经早就出了几个月的补丁。。。。。。{:soso_e101:}

发表于 2011-6-3 18:19:33 | 显示全部楼层
新人游过.. 听天由命吧。
回复

使用道具 举报

发表于 2011-6-3 19:36:05 | 显示全部楼层
还是升级吧
回复

使用道具 举报

发表于 2011-6-3 19:42:49 | 显示全部楼层
我已經被黑了....
回复

使用道具 举报

发表于 2011-6-3 19:43:17 | 显示全部楼层
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播,影响到仍旧未补丁的站长或造成其他用户的误会,对此漏洞1分通过,暂不忽略或公开。
回复

使用道具 举报

 楼主| 发表于 2011-6-3 23:16:04 | 显示全部楼层
本帖最后由 ihipop 于 2011-6-3 23:36 编辑
rety2008 发表于 2011-6-3 19:43
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播, ...
  1. $Id: notify_credit.php 10986 2010-05-19 05:41:21Z monkey $
复制代码
  1. $Id: notify_credit.php 22075 2011-04-21 06:18:59Z cnteacher $
复制代码
两者的区别是
  1. header('location: '.$_G['siteurl'].'forum.php?mod=misc&action=paysucceed');
复制代码
  1. dheader('location: '.$_G['siteurl'].'forum.php?mod=misc&action=paysucceed');
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

 楼主| 发表于 2011-6-3 23:29:33 | 显示全部楼层
rety2008 发表于 2011-6-3 19:43
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播, ...

2010-05-19的那个文件和2011-04-21(0428补丁) 的那个文件
这两个文件除了那个dheader不一样
除了文件标识号和日期不一样
其他都一样
而dheader只是对header的一个小包装函数而已,和SQL注入应该没有半毛钱关系吧?
官方说修复了?修在哪里了?
回复

使用道具 举报

 楼主| 发表于 2011-6-3 23:31:38 | 显示全部楼层
rety2008 发表于 2011-6-3 19:43
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播, ...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

发表于 2011-6-4 00:09:15 | 显示全部楼层
呃。。

我不是官方。。

我只是转发别处的。。。
回复

使用道具 举报

 楼主| 发表于 2011-6-4 00:24:46 | 显示全部楼层
本帖最后由 ihipop 于 2011-6-4 00:25 编辑
rety2008 发表于 2011-6-4 00:09
呃。。

我不是官方。。



调用的财付通接口里面 新旧文件也只是去掉了一个urldecode的区别 没看到在数据上面做了什么修改 实际上 还是没修复。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Discuz! Q 3.0 全新来袭 助力变现

小黑屋|Discuz! 官方站 ( 粤B2-20090059-165 )star

GMT+8, 2021-9-20 09:26

Powered by Discuz! X3.4

Copyright © 2001-2019 Tencent Cloud.

快速回复 返回顶部 返回列表