‹‹ 上一主题 | 下一主题 ››
发新话题
打印

动态后台注入漏洞

476226213

助理

Rank: 2

帖子
79 
威望
0 点 
T币
0 个 
警告
0 次 
活力
92 点 
在线时间
44 小时 
注册时间
2007-9-23 
最后登录
2008-5-11 
1# 发表于 2008-3-16 00:58  只看该作者

动态后台注入漏洞

这个最新的漏洞出现在Admin目录下的Admin.asp文件中(第75行),修改管理员密码的时候没有对管理员的ID进行过滤,所以导致了漏洞的发生。
代码如下:
        Subpasworld()
              Dim AcceptiP,i,AddiP,rs
              Set Rs=Dvbbs.Execute("select * from"&admintable&"where id="&request("id"))
              oldpassworld=rs("passworld")
              oldadduser=rs("adduser")
              AcceptiP=Rs("AcceptIP")&""
   可以清楚的看见第75行Set Rs=Dvbbs.Execute("select * from"&admintable&"where id="&request("id"))直接使用了request方法来获取管理员的ID值,导致了注入漏洞的发生。

TOP

狂杀一族

经理

Rank: 5Rank: 5

帖子
413 
威望
0 点 
T币
1 个 
警告
0 次 
活力
107 点 
性别
男 
在线时间
156 小时 
注册时间
2007-9-21 
最后登录
2008-8-6 
2# 发表于 2008-3-16 10:45  只看该作者
支持

TOP

j359914272

普通员工

Rank: 1

帖子
30 
威望
0 点 
T币
0 个 
警告
0 次 
活力
28 点 
在线时间
4 小时 
注册时间
2008-3-11 
最后登录
2008-4-29 
3# 发表于 2008-3-16 13:24  只看该作者
我刚开始研究漏洞入侵,现在还在搞IPC$
  希望能快点看懂你发的这东西

TOP

xztw

普通员工

Rank: 1

帖子
威望
0 点 
T币
0 个 
警告
1 次 
活力
2 点 
在线时间
0 小时 
注册时间
2008-3-31 
最后登录
2008-3-31 
4# 发表于 2008-3-31 21:13  只看该作者
hao

TOP

hfpp

普通员工

Rank: 1

帖子
19 
威望
0 点 
T币
2 个 
警告
2 次 
活力
15 点 
在线时间
2 小时 
注册时间
2008-4-1 
最后登录
2008-5-25 
5# 发表于 2008-4-1 20:59  只看该作者

好帖子啊

好帖子啊支持

TOP

ijkl114

服刑期间

帖子
18 
威望
0 点 
T币
0 个 
警告
0 次 
活力
18 点 
性别
男 
在线时间
1 小时 
注册时间
2008-6-30 
最后登录
2008-7-15 
6# 发表于 2008-7-2 05:01  只看该作者

水宜生水上滚筒手摇船水上步行球派宁清洁机丽妍堂诸葛马

提示: 作者被禁止或删除 内容自动屏蔽
水上步行球/水一生

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题