WEBSHELL箱子系统V1.0收信箱子代码漏洞分析及解决方法
发布时间:2012-08-17 16:49:59 作者:佚名 
我要评论
我要评论来分析一下WEBSHELL箱子系统的漏洞
/admin/check.asp
检测后台登陆的地方
复制代码
代码如下:<!--#Include File="../conn.asp"-->
<!--#Include File="../inc/checkstr.asp"-->
<%
If Trim(Request.Cookies("YB_Cookies")) = "" Then
response.Redirect "login.asp"
response.End()
else
dim Rs,SQL
SQL = "SELECT * FROM [YB_Admin] where [Admin_Username] = '"&checkstr(Request.Cookies("YB_Cookies")("Admin_Username"))&"' and [Admin_Password] = '"&checkstr(Request.Cookies("YB_Cookies")("Admin_Password"))&"'"
Set Rs = YB_Conn.Execute(SQL)
if Rs.eof then
response.Redirect "login.asp"
end if
end if
%>
这里对cookies提交没做过滤 直接 利用cookies提交工具提交账户密码为'or'1'='1 即可绕过后台登陆直接进入管理界面。
相关文章
DedeCMS全版本通杀SQL注入漏洞利用代码及工具2014年2月28日
近日,网友在dedecms中发现了全版本通杀的SQL注入漏洞,目前官方最新版已修复该漏洞,大家早点去官方下载补丁2014年2月28日2014-02-28- 在本文中,我们将探讨为什么这些设备容易受到攻击,现在有多少恶意网络攻击是瞄准路由器、交换机和防火墙的以及企业应该采取什么措施来保护其网络2013-12-11
- 最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现2013-06-11
- 本文简要的分析nginx+cgi解析php容易出现的漏洞2012-10-25
- 我们来分析一下163邮箱记事本存储型Xss漏洞分析与补救措施2012-10-23
- 偶尔在网上看到这些,拿来和大家一块看看,也好让各个站长懂得保护自己的网站2012-10-16
微软发布Fix it工具修复IE7/8/9漏洞 ie用户请尽快修复(0day漏洞)
日前有安全机构曝光了IE浏览器的一个0day漏洞,利用这个0day漏洞(CVE-2012-4681)攻击者可以绕过Windows的ASLR(地址空间布局随机化)防护机制,访问用户曾访问过的计算机2012-09-20- 过去,网站的内容大多是静态的。随着HTML5的流行,Web应用进入一个崭新阶段,内容的动态化和实时共享让阻拦不良内容或恶意软件变得更加复杂,公司和个人的重要信息也被暴于2012-08-23
- 过去,网站的内容大多是静态的。随着HTML5的流行,Web应用进入一个崭新阶段,内容的动态化和实时共享让阻拦不良内容或恶意软件变得更加复杂,公司和个人的重要信息也被暴于2012-08-09
小米MIUI系统漏洞致大量系统、软件和用户数据泄露及修复方法
MIUI的刷机量很大.出现下面这个漏洞要及时补啊2012-07-30
最新评论