BBSGood论坛程序moprepost.asp 变量HTTP_X_FORWARDED_FOR注入漏洞
来源:SEBUG 发布时间:2010-07-02 13:25:00
影响版本:
BBSGood 5.0/5.0.2漏洞描述:
BBSGOOD是国内首创使用缓存技术的论坛,BBSGOOD的帖子和列表首页是可以生成静态HTML文件的。在文件moprepost.asp中:if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then ipdress=Request.ServerVariables("REMOTE_ADDR") else ipdress=Request.ServerVariables("HTTP_X_FORWARDED_FOR") end if //第351行……sql="insert into LxTel_Topic (BoardID,Ftbq,TitleColor,Subject,Text,PostUser,PostTime,RePostNum,RePostUser,IP,CreateHtml,FileName,LastPostTime,LastPostUser,BuyPostType,BuyNum,BuyExplanation,BuyUser,IsBest,FilePageNum,Hits,IsTop,Admin,IsDel,ZT,GG,CommTrue,BoldFace,postsh,myfiles) values " sql=sql+"("&BoardID&",'"&Ftbq&"','"&TitleColor&"','"&Server.HTMLEncode(titlename)&"','"&nl&"','"&UserName&"','"&PostTime&"',0,'"&UserName&"','"&ipdress&"',"&IsCreateHtml&",'"&FileName&"','"&PostTime&"','"&UserName&"',"&BuyPostType&","&BuyNum&",'"&BuyExplanation&"','"&UserName&"',0,0,0,0,0,0,0,0,0,"&BoldFace&","&shzt&",0)" //第380行 conn.execute(sql)环境变量HTTP_X_FORWARDED_FOR本地修改并提交,程序没有对放入sql语句中的该变量做过滤导致注入漏洞的产生。<*参考
http://www.bbsgood.com/
http://www.wavdb.com/
*> SEBUG安全建议:
厂商补丁:BBSGood.Speed-------目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.bbsgood.com/
猜你喜欢
- 2001年到2003年,亚洲交友中心的免费会员女2美金男1美金,各类的点击冲浪邮件等赚钱联盟数不胜数,那时候可以说就是个拣美金的时代。03年
- 搜狐近日公布了2009年度财务报告,总收入达5.152亿美元,年增长率达20%,其中子公司畅游所运营的游戏业务收入为2.676亿美元,超过母
- 好久没发表文章了,今天决定发表一篇最最有价值的文章,这个可是我两年网赚的经验了,不管大家对这篇文章的意见感觉如何,我只是为了帮助大家更清醒的
- 伴随着UCenter Home(简称UCHome)1.5的发布,国内越来越多垂直细分的社交网站采用UCHome搭建。同时,Manyou开放平
- 查看了一下博客的链接,发现有一些在博客文章中的链接也被计算在友情链接在内,不太清楚它们会不会影响页面的权重,索性将这些都加上了”extern
- 最近,有很多客户加我,叫我帮他们做个简单的HTM页面,但却都是免费的。而我说明,我们改程序都是收费的,他们却很不乐意,觉得我是利欲熏心,做什
- 大多数网站在处理它们的平均用户数访问时加载速度是合理的。但是网站遇到流量高峰压力时,性能会迅速恶化。为了了解流量高峰期估计的理论和方法,我先
- SEO Digger [ 关键词查询, 排名查询 ] - 检测你站点中已经有比较好排名的关键词,并可以查看他们排名的位置。我想,
- 设置IP安全策略将木马阻杀在端口外“木马”一个让用户头疼的字眼,它们悄然无声的进入我们的系统,叫人防不胜防。当木马悄悄打开某扇“方便之门”(
- UCenter Home是Comsenz公司发布的一款SNS建站系统,目前最新版本是1.5。最近看到很多站长安装好UCenter Home,
- 如果臧家宜不是在故弄玄虚,扰乱视听,那郭台铭的风光日子可能即将到头。在台湾,鸿海的股价已经因自家掌门人 * 被查的消息而受挫,即便爆料者已经因
- 这篇主要讲解网选取关键字的步骤。网站或网页关键字的确定看似是一件不是很系统的工作,但如果要确实有竞争力的关键字,想通过关键字为网站带来流量,
- 大洋彼岸的Alexa给国内互联网究竟带来的是什么?我觉得可以用“爱”、“恨”、“情”、“仇”四字来形容。 “爱”,许多网站因为做
- 利用google管理员工具模拟googlebot抓取某静态页面,得到的HTTP头信息中没有Content-Encoding:gzip的标志,
- 有很多发布商在询问什么时候自己的账户才可以使用广告查看中心,我们现在很高兴地通知大家,这个功能已经向所有发布商开放了!通过广告查看中心,您可
- 一般的FTP服务器是以明文方式传输数据的,安全性极差,信息很容易被盗,即使它提供了SSL加密功能,默认情况下也可能没有启用,如大家常用的Se
- 6月9日消息,据国外媒体报道,微软近日表示,如果企业绕过Windows Vista,直接从Windows XP升级到Windows 7,可能
- 北京时间11月21日消息,据国外媒体报道,FriendFeed创始人、Gmail的创造者保罗-布克海特(Paul Buchheit)今天表示
- 2010年的春节一开始,《魔兽世界》的网友们就迎来了好消息:新闻出版总署在2月12日审批通过了网易《魔兽世界:燃烧的远征》。至此,《魔兽世
- 百度经过将近一个月的“调整”,终于在昨天即3月13号对网站收录、排名进行了大更新。论坛里又出现了很多问百度更新网站被k,关键字排名下降等等问