 |
BJXSHOP网上购物系统全系列产品漏洞 |
|
|
| BJXSHOP网上购物系统全系列产品漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 11:24:07 |
|
ps:哈哈,怎么和动感得漏洞这么象呢!文件也一样!不会用得是同一个程序修改来得吧!不想多说了,大家玩吧!
发现者:Neeao [Bug.Center.Team]
程序名称:伴江行网上商城系统
影响版本:所有版本(包括官方所有演示版本)
系统开发:伴江行设计中心
官方地址:http://www.gzshopping.com
漏洞等级:危险
详细说明:注入漏洞
存在漏洞文件:
textbox.asp
textbox2.asp
textbox3.asp
本来这个是后台修改新闻时候显示内容的东西,本页一个代码就可以了,不知道作者为什么非要用一个文件来显示出来,
而且还放在程序跟目录下!没有做任何限制就放在了哪里,调用,可见作者是多么的粗心!
测试方法:textbox.asp?action=modify&newsid=任意一个存在的id!
textbox3.asp?action=modify&bookid=任意一个存在的id!
textbox2.asp?action=modify&newsid=任意一个存在的id!
就可以注入了!如果用sql版的话数据库权限设置不当的话,很容易获得系统权限!^_^!
漏洞补丁:已经通知了官方了!
临时解决方法;过滤变量啊! 【转自世纪安全网 http://www.21safe.com】
|
|
| 新闻录入:admin 责任编辑:admin |
|
|
上一篇新闻: 国内大部分网站统计系统存在着严重安全漏洞(Updated Ver)
下一篇新闻: nb文章系统 2.0RC1 Fck_editor漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
