[转载]CoCOONcounter 注入漏洞测试条件

信息来源：草草虫[E.S.T]'s BLOG


人懒了，什么都不想做。跟着别人的脚步走也不错，总比不学的好。

CoCOONcounter出了注入漏洞，发现这个漏洞的人观察的真仔细啊。

注入点：http://站点/counter/core/default.asp?id=统计ID

http://xxxxx/counter/core/default.asp?id=统计ID' and {SQL injection} and '1'='1

防范也很简单，直接在/_inc/include.asp 的setsite里面过滤id的值。



如果是mSSQL的服务器效果攻击更明显。

同时：如果http://xxxxx/zzzzz/counter/supervise/login.asp 中的login.asp在三层目录里面，还可以暴access库。
{http://xxxxx/zzzzz/counter/supervise%5clogin.asp }

洞不是我发现的，我只是总结罢了。如果对你有帮助，可以给我留言。