记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Webshop开源商城存在多个SQL注入

2013-06-17 17:05
工作需要,要进行漏洞演示,网上随便找找,发现webshop看起来不错,于是下载测试,果然漏洞很多,各种各样的漏洞都有很方便演示:)
 
Webshop官网 http://www.web13800.cn/ 号称有13000多用户,2012版提供开源版本,是专注中小企业及个人的电子商务平台。
该网站系统(多个版本中)存在多处SQL注入漏洞。

 下载的5.1版:http://www.hackdig.com/ym/201111/30307.html ,查看源代码,发现多处SQL注入漏洞(117处)
 
部分如下:
 
如根目录show_all.asp
 
48至63行
 
 

<%


sql3="select * from e_contect where c_id="&request("c_id")
set rs3=server.CreateObject("adodb.recordset")
rs3.open sql3,conn,1,1

if rs3.bof or rs3.eof then

else
set c_id=rs3("c_id")
set c_title=rs3("c_title")
set c_contect=rs3("c_contect")
set c_addtime=rs3("c_addtime")

%>

 

 
 
 
该系统的若干文件中均存在SQL注入,同一文件中有些存在多处SQL注入。
 
 
 
漏洞利用跟所使用的数据库有关,该系统默认使用access数据库。 
 
修复方案:

请教google老师吧。 
 
知识来源: www.2cto.com/Article/201306/220339.html

阅读:65862 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“Webshop开源商城存在多个SQL注入”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词