2017年8月11日
审计4 XSS
摘要: 在sys/libphp中 在代码段中发现服务器在$_SERVER["HTTP_CLIENT_IP"] 中获取了客户端的ip,然后搜索这个自定义的函数 get_client_ip()看获取iP后,有没有对ip进行过滤。直接将其 带入了数据库,并更新数据库! 在14行发现只是用sqlwaf()函数对获取 阅读全文
posted @ 2017-08-11 22:25 Screw 阅读(172) 评论(0) 推荐(0) 编辑