漏洞发现:Neeao http://www.neeao.com/lbs/程序名称:动感购物 网上商城系统
影响版本:V9.23,V9.26,V9.27Access版
系统开发:动感科技
官方地址:_blank>
http://www.9911.com.cn漏洞说明:暴库漏洞
程序说明:动感购物系统是目前网上应用非常多得一个购物系统!
漏洞描述:其数据库连接文件没有做容错处理,导致提交非法字符,使得程序报错,从而得到数据库路径并下载数据库!
厂商补丁:暂时没有!
临时解决方法:
在数据库连接文件conn.asp用以下内容替换即可:
_code cellSpacing=1 cellPadding=0 width="90%" border=0>
dim startime,conn,connstr,db,rs_s,rs_s1
startime=timer()
db="shop.mdb"
Set conn = Server.createObject("ADODB.Connection")
connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(""&db&"")
On Error Resume Next
conn.Open connstr