动网14日发明的裂痕姑且办理方案
|
下战书发明公司论坛被人进入,幸好那人慈悲为怀,只在告白打点处加了一段嵌入包括木马文件的网址的代码,没有删我站的数据。 题目严峻,是不是动网又发明白裂痕,并已宣布了补丁,而我还没有去更新呢? 打开动网论坛,发明6月份又有更新文件。溘然一条:"呈现dvbbs?sp2?sql版?sql注入器材,请实时推出补丁"的贴子引起了我的留意,打开一瞧,说是操作showerr.asp的裂痕,提交一次后,将指定用户设为前台打点员,前台暗码设为你预定的,再执行自动天生的SQL语句即可将当前用户设为靠山打点员,登任命户名是gxgl.com,暗码跟前台一样。 按照此条信息,顿时找到了响应的裂痕入侵软件,强吧! 经现实测试,确实云云,汗!!! 动网没有找到此方面的补丁,怎么办呢? 细心看软件的返回功效,发明: 大白了,好高级的SQL注入伎俩,于是从User-Agent入手。在inc/Dv_ClsMain.asp中发明其Cls_Browser类Class_Initialize时,Agent=Request.ServerVariables("HTTP_USER_AGENT"),我试着加上了DVBBS.checkstr(),举办单引号的过滤。上传后,再行使谁人软件测试,发明无效。哈哈,补漏乐成!? 以下是姑且办理方案,同时但愿动网官方尽快出补丁! 请在inc/Dv_ClsMain.asp中查找: Agent=Request.ServerVariables("HTTP_USER_AGENT") 将这句改为: Agent=DVBBS.checkStr(Request.ServerVariables("HTTP_USER_AGENT")) 即可。 ----------------------------------------------------------------------------------- 20:10,汗!动网的fssunwin汇报我,7日的inc/Dv_ClsMain.asp就已经更新了此裂痕了,看来偶是白忙了。 再次提示行使动网的用户,要实时去动网看看是否有新的补丁下载。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
