我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>JAVA安全开发>> 漏洞信息途途外贸企业网站管理系统多处高危漏洞
途途外贸企业网站管理系统多处高危漏洞
3957
0推荐
0评论

作者:无敌金创药

影响版本:途途外贸企业网站管理系统工作室版v2.7beat
下载地址:http://down.chinaz.com/soft/30850.htm
①留言本任意用户数据库插马
漏洞文件/cn/guestbook.asp
因为下载的是免费版本的,不存在留言本,不过官网有这个栏目,相信正版的用户应该也存在,并且官网数据库路径并未修改(☆_☆)
,经过测试,留言本数据能够成功写入数据库。最关键的是数据库后缀是asp!哈哈,直接在留言本写入一句话。好吧菜刀连接之……

②数据库未做防下载处理
数据库地址:\ttdata\ez_turiy_tt.asp
直接用迅雷下载下来,本地找到管理员账号密码,登陆后台后台地址:/ez-admin/index.asp
后台一样能把数据写入数据库。

其他的相比而言就是小洞洞啦,不过还是得说一下!

③注入漏洞
漏洞文件:\Cn\newscat.asp
不用说了,未过滤,工具添加表:ezsusers

④前台XSS代码后台执行
如题。。。。。。

已经有 ( 0 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415