白银时代】备注:不是什么知名系统,挖掘不到什么大的利用价值。

涉及到的文件大致有pindaolist.asp,pinlist.asp,class.asp,article.asp,均存在Cookies注入。

问题代码如下:<%
anid=request(“anid”)
banshi=request(“banshi”)
set rsan=server.CreateObject(“adodb.recordset”)
rsan.Open “select * from anclass where anclassid=”&anid&”",conn,1,1
%>

防注入对Cookies形同虚设,不多说了。
Google:inurl:pindaolist.asp?anid

表名:xbadmin 字段:xbadmin ,password,注入吧!
默认后台地址:http://localhost/xbyadmin/login.asp

本文来源于:漏洞公告。转载请保留这个链接,不会对你的SEO大业产生影响。

One Response 至“”志坚网络新闻系统1.0d存在Cookies””

  1. 微知博客 says:
    2009年10月25日 at 上午 9:21

    一直不明白,注入这个起什么作用?

    白银时代 于 2009-10-25 9:58:42 回复

    注入,这个词听说过吧?
    现在的网络程序安全性都越来越好,很多程序都加入了防注入语句,可以自行判断提交的语句是否带有注入代码。
    所以Cookies注入就应运而生,它可以绕过一般的防注入代码,效果比较好,所以现在的Cookies注入越来越流行。

    回复

留下回复