‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[转载]动网社区超市插件漏洞

EvilOctal

团队执行官

Rank: 8Rank: 8

E.S.T社区执行帐号

帖子
9823 
精华
768 
积分
40344 
阅读权限
200 
性别
男 
在线时间
3974 小时 
注册时间
2004-7-4 
最后登录
2008-9-5 
楼主 发表于 2005-5-29 16:10  只看该作者

[转载]动网社区超市插件漏洞

文章作者:YYB

今天在调试动网的时候顺便测试了下...以社区超市插件为例.  
开始:
在百度上搜:"z_shop_newshop.asp"
随便找个目标. 例如:http://www.sasaye.com/mybbs
默认数据库存在:http://www.sasaye.com/mybbs/data/shop.asp [基本上没人会改这个数据库名]
接着注册个名.到社区超市随便买个东西.然后到我的商品按赠送.输入论坛上任意人的ID.留言上插个一句话马.我用蓝屏的: . OK...提交成功..
再通过蓝屏木马连接http://www.sasaye.com/mybbs/data/shop.asp 提交大马....
OK..成功.. http://www.sasaye.com/mybbs/data/hack.asp
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

我欲成魔

晶莹剔透§烈日灼然

Rank: 1

帖子
63 
精华
0 
积分
130 
阅读权限
40 
性别
男 
在线时间
37 小时 
注册时间
2005-6-17 
最后登录
2008-8-7 
沙发 发表于 2005-6-17 01:34  只看该作者
幸好这个漏洞还不算面积太广~~~
总的说来DVBBSsp2只要不默认管理员密码、默认数据库和备份数据库路径,还是挺安全的。

TOP

独行浪子

晶莹剔透§烈日灼然

Rank: 1

帖子
56 
精华
0 
积分
63 
阅读权限
40 
在线时间
1 小时 
注册时间
2013-11-25 
最后登录
2008-5-8 
椅子 发表于 2005-6-17 19:51  只看该作者
这个只是管理员配置不当造成的~严格来说不属于漏洞~

TOP

wildcat

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
性别
男 
在线时间
258 小时 
注册时间
2005-6-21 
最后登录
2008-9-7 
板凳 发表于 2005-6-29 23:24  只看该作者
.mdb de  数据库 也能这么搞吗?

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题