几个月以前,X-Forwarded-For可以伪造的时候,就滋生了SAX的漏洞。可以注入哦。很严重哦。
1.1 build 20060611的版本就存在漏洞。因为我当时也懒,也忙,想着反正没有利用工具,没多少人会伪造。现在工具出来了,我还是和大家说对不起。这么晚才放出新版本。
相信很多程序都会用到X-Forwarded-For来获取IP信息。而且要么对数据库读写,要么对文件读写。所以注入漏洞、写文件漏洞到处是。如果自己写程序的朋友。还是看看有没有过滤疏忽的地方。
下载地址:sablogbugtool.rar
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论