鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

Webshop开源商城存在多个SQL注入

来源:互联网 作者:佚名 时间:2015-10-19 08:44
工作需要,要进行漏洞演示,网上随便找找,发现webshop看起来不错,于是下载测试,果然漏洞很多,各种各样的漏洞都有很方便演示:) Webshop官网 http://www.web13800.cn/ 号称有13000多用户,2012版提供开源版本,是专注中小企业及个人的电子商务平台。 该网
工作需要,要进行漏洞演示,网上随便找找,发现webshop看起来不错,于是下载测试,果然漏洞很多,各种各样的漏洞都有很方便演示:)
 
Webshop官网 http://www.web13800.cn/ 号称有13000多用户,2012版提供开源版本,是专注中小企业及个人的电子商务平台。
该网站系统(多个版本中)存在多处SQL注入漏洞。

 下载的5.1版:http://www.2cto.com/ym/201111/30307.html ,查看源代码,发现多处SQL注入漏洞(117处)
 
部分如下:
 
如根目录show_all.asp
 
48至63行
 
 
<%


sql3="select * from e_contect where c_id="&request("c_id")
set rs3=server.CreateObject("adodb.recordset")
rs3.open sql3,conn,1,1

if rs3.bof or rs3.eof then

else
set c_id=rs3("c_id")
set c_title=rs3("c_title")
set c_contect=rs3("c_contect")
set c_addtime=rs3("c_addtime")

%>

 

 
 
 
该系统的若干文件中均存在SQL注入,同一文件中有些存在多处SQL注入。
 
 
 
漏洞利用跟所使用的数据库有关,该系统默认使用access数据库。 
 
修复方案:

请教google老师吧。 
 
网友评论
<