参数未作任何过滤直接带入数据库查询,恶意攻击者可以获取管理后台登陆用户名和密码
web根目录下price.asp中,anid未作任何过滤,数字型注入
anid的值视具体用户而定
可以添加cnhww表爆之
源码 包地址:http://down.chinaz.com/soft/30676.htm
修复方案: anid=trim(request("anid"))修改为:anid=IsNumeric(trim(request("anid")))
查看更多关于网趣网上购物系统(eshop_v6.7)SQL注入 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14841