淘装备网网游虚拟交易平台SQL注入漏洞

淘装备网网游虚拟交易平台SQL注入漏洞

作者：佚名文章来源：不详点击数：更新时间：2007-1-25 10:49:01

本文作者： H4K_B4N[B.C.T]
文章出处：原创
阅读次数： 136
发布日期： 2005-3-5

漏洞发现：H4K_B4N[B.C.T]<bnsoyy(at)hotmail.com>
厂商名字：淘装备网
厂商地址：http://www.taozb.com/
漏洞程序：淘装备网网游虚拟交易平台 v1.0
漏洞类型：SQL注入
影响版本：所有版本

程序介绍：
淘装备网网游虚拟交易平台 v1.0是以ASP+ACCESS架构的商务信息发布管理系统

漏洞描述：
因程序的多个页面存在严重的SQL注入点，致使恶意用户可以得到管理员账号以及密码

漏洞利用：
http://www.target.com/more.asp?id=xx
http://www.target.com/open.asp?xiangxi=××

特别注意：
程序的Conn.asp没有进行容错处理，所以会数据库地址泄漏，另外数据库备份方面容易得到Webshell.

厂商补丁：
淘装备网
---------------
http://www.taozb.com/
请留意官方最新程序或补丁的发布

【转自世纪安全网 http://www.21safe.com】

新闻录入：admin 责任编辑：admin

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

\| 设为首页 \| 加入收藏 \| 联系站长 \| 友情链接 \| 版权申明 \|
Copyright © 2006-2008　www.anquan365.com　安全365 建议使用1024*768分辨率及第三方浏览器对本站进行浏览