风讯(FooSun)GetPassword.asp任意修改密码漏洞
作者:admin 日期:2010-07-18
风讯awardAction.asp页面SQL注入漏洞
作者:admin 日期:2010-07-18
风讯网站管理系统API_Response.asp页面存在越权漏洞
作者:admin 日期:2010-06-15
FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
在文件\API\ API_Response.asp中:If Request.QueryString<>"" Then //第16行SaveUserCookie()ElseSet XmlDoc = Server.CreateObject("msxml2.FreeThreadedDOMDocument" & MsxmlVersion)XmlDoc.ASYNC = FalseIf Not XmlDoc.LOAD(Request) ThenStatus = 1Messenge = "数据非法,操作中止!"appid = "未知"ElseIf Not (XmlDoc.documentElement.selectSingleNode("userip") is nothing) ThenUserTrueIP = XmlDoc.documentElement.selectSingleNode("userip").textEnd IfIf CheckPost() ThenSelect Case ActCase "checkname"整合文件中没有判断程序是否开启,恶意用户可以向该文件提交数据来进行修改删除用户的操作。
官方网站:http://www.foosun.net/,首发wavdb,由情整理编辑
在文件\API\ API_Response.asp中:If Request.QueryString<>"" Then //第16行SaveUserCookie()ElseSet XmlDoc = Server.CreateObject("msxml2.FreeThreadedDOMDocument" & MsxmlVersion)XmlDoc.ASYNC = FalseIf Not XmlDoc.LOAD(Request) ThenStatus = 1Messenge = "数据非法,操作中止!"appid = "未知"ElseIf Not (XmlDoc.documentElement.selectSingleNode("userip") is nothing) ThenUserTrueIP = XmlDoc.documentElement.selectSingleNode("userip").textEnd IfIf CheckPost() ThenSelect Case ActCase "checkname"整合文件中没有判断程序是否开启,恶意用户可以向该文件提交数据来进行修改删除用户的操作。
官方网站:http://www.foosun.net/,首发wavdb,由情整理编辑
Tags: 风讯
