[转载]CoCOONcounter 注入漏洞测试条件
信息来源:草草虫[E.S.T]'s BLOG人懒了,什么都不想做。跟着别人的脚步走也不错,总比不学的好。
CoCOONcounter出了注入漏洞,发现这个漏洞的人观察的真仔细啊。
注入点:http://站点/counter/core/default.asp?id=统计ID
[url]http://xxxxx/counter/core/default.asp?id=[/url]统计ID' and {SQL injection} and '1'='1
防范也很简单,直接在/_inc/include.asp 的setsite里面过滤id的值。
如果是mSSQL的服务器效果攻击更明显。
同时:如果[url]http://xxxxx/zzzzz/counter/supervise/login.asp[/url] 中的login.asp在三层目录里面,还可以暴access库。
{[url]http://xxxxx/zzzzz/counter/supervise%5clogin.asp[/url] }
洞不是我发现的,我只是总结罢了。如果对你有帮助,可以给我留言。
页:
[1]