动感购物 网上商城系统
程序名称:动感购物 网上商城系统<br/>影响版本:V9.23,V9.26,V9.27Access版<br/>系统开发:动感科技<br/>官方地址:http://www.9911.com.cn<br/>漏洞说明:暴库<a class="channel_keylink" href="http://www.3800hk.com/">漏洞</a><br/><br/>程序说明:动感购物系统是目前网上应用非常多得一个购物系统!<br/><br/><a class="channel_keylink" href="http://www.3800hk.com/">漏洞</a>描述:其数据库连接文件没有做容错处理,导致提交非法字符,使得程序报错,从而得到数据库路径并下载<a class="channel_keylink" href="http://www.3800hk.com/">数据</a>库!<br/><br/>厂商补丁:暂时没有!<br/><br/>临时解决方法:<br/><br/>在<a class="channel_keylink" href="http://www.3800hk.com/">数据</a>库连接文件conn.asp用以下内容替换即可:<br/>_code cellSpacing=1 cellPadding=0 width="90%" border=0> dim startime,conn,connstr,db,rs_s,rs_s1<br/>startime=timer()<br/>db="shop.mdb"<br/>Set conn = Server.createObject("ADODB.Connection")<br/>c & Server.MapPath(""&db&"")<br/>On Error Resume Next<br/>conn.Open connstr <br/> <p>把那一段<!--#include file="webtop.asp"-->移到上面</p><br/><p>><br/><!--#include file="webtop.asp"--><br/><table width="760" border="0" align="center" cellpadding="0" cellspacing="0" bgcolor="#FFFFFF" class="table-zuoyou"><br/> <tr> </p><br/>
<p>--改成-下面----------------------------------------------------------------------------------</p><br/>
<p><!--#include file="conn.asp"--><br/><!--#include file="webconfig.asp"--><br/><!--#include file="funtion1.asp"--><br/><!--#include file="webtop.asp"--><br/> <%<br/>if request.cookies("snsn")("username")="" then<br/>response.write "<script language=javascript>alert('對不起,您還沒有登陸!');window.history.go(-1);</script>"<br/>response.End<br/>end if</p>
<p>哈哈,看了前面的,终于解决了,谢谢前面的仁兄!!!!!!!!!!</p>
页:
[1]