關於WooYun漏洞處理

感謝,今天收到 HITCON ZeroDay 漏洞通報平台通知,
發現網站上有Blind SQL Injection問題,接到通報經過調查後,馬上進行修復。

除原本SQL查詢語句可改為Prepared Statement方式修改之外,
也把原本先有失誤的code做了些修正,來避免一些判斷上遺失的問題,已修正如下:

$no=intval($no);
if($no==0) $no=1;

另外,在使用intval函數上也要特別注意,才能避免誤判的問題發生。

<?php
echo intval(3);        // 3
echo intval(‘3’);    // 3
echo intval(‘A’);    // 0
echo intval(‘A3’);    // 0
echo intval(‘3A’);    // 3
?>

如有發現任何其他問題,也歡迎與我們聯繫,謝謝。