来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] ①留言本任意用户数据库插马②数据库未做防下载处理③注入漏洞④前台XSS代码后台执行影响版本:途途外贸企业网站管理系统工作室版v2.7beat下载地址:http://down.chinaz.com/soft/30850.htm①...
①留言本任意用户数据库插马
②数据库未做防下载处理 ③注入漏洞 ④前台XSS代码后台执行 影响版本:途途外贸企业网站管理系统工作室版v2.7beat 下载地址:http://down.chinaz.com/soft/30850.htm ①留言本任意用户数据库插马 漏洞文件/cn/guestbook.asp 因为下载的是免费版本的,不存在留言本,不过官网有这个栏目,相信正版的用户应该也存在,并且官网数据库路径并未修改(☆_☆) ,经过测试,留言本数据能够成功写入数据库。最关键的是数据库后缀是asp!哈哈,直接在留言本写入一句话。好吧菜刀连接之...... ②数据库未做防下载处理 数据库地址:www.2cto.com \ttdata\ez_turiy_tt.asp 直接用迅雷下载下来,本地找到管理员账号密码,登陆后台后台地址:/ez-admin/index.asp 后台一样能把数据写入数据库。 其他的相比而言就是小洞洞啦,不过还是得说一下! ③注入漏洞 漏洞文件:\Cn\newscat.asp 不用说了,未过滤,工具添加表:ezsusers ④前台XSS代码后台执行 如题。。。。。。 修复方案: 程序猿应该注意细节,第一过滤,第一次使用提示修改数据库地址,数据库做防下载处理,过滤参数! 作者: 无敌金创药 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com