BiWEB最新商城版绕过过滤字符型注入一枚
简要描述: BiWEB最新商城版绕过过滤字符型注入一枚 详细说明: 在wooyun上看到了有人提了BiWEB的一个XSS漏洞: WooYun: BIWEB商城版XSS盲打cookie ,也有人提了SQL注入,我来找找其他的漏洞吧。去官网下BiWEB商城版最新的5.8.4来看看。 注入点在http://192.168.0.107/brand/list.php?brandid=1,其中brandid存在注入漏洞 先来看看BiWEB是怎么处理防注入的。首先BiWEB对用户输入进行了全局过滤filtrate.inc.php filtrateData方法的实现见下面 /...