From:www.0855.tv By:Mr.DzY date:2011/08/25
极瑞企业网站系统是为中小型企业专门定制的小型企业站源代码,代码全部免费公开,可以自行修改学习
使用,但严禁用于商业用途。系统前台界面清洁简单,后台功能强大,最适合企业展示型的网站。
ps:百忙中跑来网吧上网,也没什么时间看代码。发个简单的让大家先研究研究。
默认后台:admin/login.asp 默认数据库:database/%23zhiyuan_date_1003.mdb 官方演示站: http://www.li07.com/demo/01/
漏洞文件:include/conn.asp 漏洞成因:无容错
漏洞利用: http://www.2cto.com /include%5cconn.asp
另:上一版本中的cookies注入 漏洞 作者已打上补丁。 但是admin/conn. asp 中的字符并没有过滤:* char % 等字符。可以 尝试用/**/分割字符、char(101)等方式绕过防注入。
防注入部份代码:
'安全防SQL注入代码 Sql_in="and |or |on |in |select |insert |update |delete |exec |declare |'" ' 防止GET方法-------------------------------------------------------- Sql=Split(Sql_in,"|") If Request.QueryString<>"" Then For Each Sql_Get In Request.QueryString For Sql_Data=0 To Ubound(Sql) IF Instr(Lcase(Request.QueryString(Sql_Get)),Sql(Sql_Data))<>0 Then Response.Write "<SCRIPT>alert('含有非法字符,请重新输入!');history.go(-1);</SCRIPT>" Response.End() End IF Next Next End If
查看更多关于极瑞企业网站系统爆库及修复 - 网站安全 - 自学的详细内容...