讯时网站管理系统CMS v3.7漏洞pc软件 文章资讯 手机软件

您当前的位置→图文中心新闻资讯安全播报讯时网站管理系统CMS v3.7漏洞

讯时网站管理系统CMS v3.7漏洞


2009/7/16  编辑:佚名 来源:本站整理  关键词:

讯时网站管理系统CMS v3.7漏洞

 

通明IT博客
我近来看见许多blog友人叫我多发这类漏洞文章, 我就在今天就在发一篇, 我就在站长之家发现这个无前台的程序, 所以我下下来看看这程序安全性怎么才能, 而且这程序下载地人也较多, 就在站长之家的下载量达”讯时网站管理系统systemCMS下载地址(已被下载71216次) “我就在http://down.chinaz.com/soft/14523.htm下载了这程序, 就在站长之家里面这程序是当前最新地, 因为无前台, 所以我直接跳到admin网站后台目录看代码, 这套程序就在安全性还是可以能够地, 只是有可能程序员疏忽所以出现问题了, 我们我自己来看admin目录下的admin_conn.asp 文件程序, 这文件程序代码很不复杂就几句话, 我们我自己来看源码

<%
mdb="../"
%><!--#include file = ../admin_conn.asp -->

够不复杂吧, 但是有可能就是因为程序员疏忽, 所以出现问题啦, 这是一个数据信息库链接文件程序, 但是因为这文件程序没有容错语句, 所以导致暴库漏洞下面是我的本机地址http://localhost/news/admin/admin_conn.asp, 我们我自己把最后一个“/”号改成“%5c”之后, 哈哈, 暴库数据信息库地址拉, 大家看截图

, 而且这套系统system没有数据信息库防下载措施, 数据信息库可以能够轻易下载

这个漏洞修复方法很不复杂, 只要添加防错语句即可

”ON ERROR RESUME NEXT“这一句话!!!!

这漏洞应该是程序员疏忽造成的, 就在根目录下也有个admin_conn.asp 文件程序, 这文件程序程序员添加了防错语句,

这漏洞危害较大, 请大家一定不要拿这程序拿来做坏事哦!!!

这套程序应该还是有其它疏忽的漏洞, 但是我现就在这几天没那么时间看源码, 我过段时间我会看的,

请大家捧场哦!!!!!!!

声明一下, 我去官方官网去看了一下, 该程序当前最新版本为3。 9这版本也未修复此漏洞, 所以说这漏洞通杀所有版本

还是有, 因为写文章原因, 我把此程序的数据信息库扩展名, 改了一下, 改成MDB了, 程序本来是asp的扩展名, 但是这漏洞还是存就在地, 因为某些站长没什么安全意识, 但是为了涂方便, 把扩展名改成mdb后, 改了数据信息库后, 不把数据信息库扩展名还原, 所以这漏洞就可以能够充分利用了, 罪过啊!!!!!

讯时网站管理系统systemCMS v3.7漏洞

相关文章
  • 讯时网站管理系统CMS v3.7漏洞
  • 讯时网站管理系统漏洞利用
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图