收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 黑客技术 > 病毒漏洞 > 正文

动感商城购物系统暴库漏洞

来源:互联摘选 日期:2006-10-24 09:17
漏洞发现:Neeao  http://www.neeao.com/lbs/
程序名称:动感购物 网上商城系统
影响版本:V9.23,V9.26,V9.27Access版
系统开发:动感科技
官方地址:_blank>http://www.9911.com.cn
漏洞说明:暴库漏洞

程序说明:动感购物系统是目前网上应用非常多得一个购物系统!

漏洞描述:其数据库连接文件没有做容错处理,导致提交非法字符,使得程序报错,从而得到数据库路径并下载数据库!

厂商补丁:暂时没有!

临时解决方法:

在数据库连接文件conn.asp用以下内容替换即可:
_code cellSpacing=1 cellPadding=0 width="90%" border=0> dim startime,conn,connstr,db,rs_s,rs_s1
startime=timer()
db="shop.mdb"
Set conn = Server.createObject("ADODB.Connection")
connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(""&db&"")
On Error Resume Next
conn.Open connstr

推荐阅读

 

热点信息

 
强悍的草根IT技术社区,这里应该有您想要的!
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号