漏洞详述：
我家博客oBlog是一给多人提供blog的网络应用程序。
其oBlog所有版本存在暴漏数据库绝对路径漏洞，只要提交http://www.oioj.net/blog%5clist.asp?classid=1这样的url即可看到数据库路径，如果没有被改名就可以被下载，直接改名为.asp后缀也可以让攻击者在浏览器得到一些敏感信息，如加密密码及遗失密码问题及答案，导致用户资料被篡改。（最新的版本也存在这个漏洞，官方网站做了一些处理，得不到路径但是还是出错。）
在oBlog version 2.0还可以用已存在的用户名加特殊空格注册导致blog冒名发言而使blog混乱。
oBlog version 2.0在留言回复里存在html字符过滤不严导致可以构造恶意的html及script代码偷取用户cookie甚至是恶意的破坏浏览者电脑。

解决办法：
对于oBlog version 2.0及较低版本请到官方网站升级，并且做好防数据库下载处理。