频道栏目
首页 > 安全 > 网站安全 > 正文

hzhost6.5虚拟主机管理系统最新SQL漏洞(附漏洞补丁)

2009-04-13 01:34:13           
收藏   我要投稿

作者:普瑞斯特 Web:http://www.hacksb.cn
———————————–
其实呢,漏洞一点都不新,在t00ls都躺了N天了,就是不见有人转出来..
没记错的话这已经是华众第四次出漏洞了..而且每次犯的还都是一个毛病,
我很看好他们的程序员.
这次漏洞出在channeldmectr.asp这个文件上,跟本就没有过滤任何参数.
正好我这里有正版的补丁,打开看下了,打上补丁的channeldmectr.asp文件在第21行到第40行,增加以下代码:


Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=Request(ParaName)
if IsNumeric(ParaValue) then
SafeRequest=ParaValue
exit Function
else
ParaValuetemp=lcase(ParaValue)
tempvalue="select|insert|delete|union|
join|script|applet|object|’|drop|update|truncate|
create|xp_cmdshell|exec|alter|cast|rename|modify
temps=split(tempvalue,”|”)
for mycount=0 to ubound(temps)
if Instr(ParaValuetemp,temps(mycount)) > 0 and lcase(ParaName)<>”module” then
call errorpage(-2,”您提交的内容包含了字符["&temps(mycount)&"],请去除后重新提交或联系我们…”)
response.end
end if
next

上一篇:WEB版IDS抵御WEB攻击
下一篇:phpcms2008 注入漏洞 最新发现
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站