您的位置：首页 → 网络冲浪 → 防范措施 → ProFTPD 服务程序 mod_sql查询用户名SQL注入漏洞

ProFTPD 服务程序 mod_sql查询用户名SQL注入漏洞

时间：2009/2/19 8:15:00来源：本站整理作者：我要评论(0)

受影响系统：
ProFTPD Project ProFTPD 1.3.2
ProFTPD Project ProFTPD 1.3.1

不受影响系统：
ProFTPD Project ProFTPD 1.3.2 rc3

描述：
ProFTPD是一款开放源代码FTP服务程序。

ProFTPD的SQL认证模块没有正确地处理百分号字符（%）。在mod_sql查询中，可使用百分号表示变量。当mod_sql模块查找到百分号时，就会试图用变量替换，这就改变了基本查询的用户名。例如，对于用户名tj%string.com，由于会使用FTP响应状态替换百分号，但不存在状态值，因此会使用默认的“-”字符串，这个用户名最终变为tj-tring.com。

厂商补丁：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.proftpd.org/

相关阅读 PHP Runner网页工具 SearchField参数SQL注入漏洞mod_auth_mysql软件包多字节字符编码SQL注入漏洞SQL注入漏洞初级应用之Access篇安全入门:SQL注入漏洞全接触SQL注入漏洞全接触--高级篇 3SQL注入漏洞全接触--进阶篇 2SQL注入漏洞全接触--入门篇 1黑鲨2pro手机发布会直播地址 黑鲨2pro发布会直播网址

文章评论

查看所有0条评论>>

发表评论

我来说两句...

提交评论