攻防手记]IT168攻防大赛漏洞分析及修补
![攻防手记]IT168攻防大赛漏洞分析及修补](http://www.xitongzhijia.net/uploads/allimg/210118/117-21011Q34329241.jpg)
登录成功代码asp使用的request()方式获取 id这个参数,然后完全不加过滤就直接提交给数据库。存在很明显的注入漏洞。但是同样的问题我们发现在其他页面也存在。可是其他页面却不存在注入漏洞,而且我从官方下载来的ProductShow.asp文件也同样不存在注入漏洞。到底是怎么回事?一开始还想要去好比赛官方直接拿他那份修改过的asp技术。呵呵。后来考虑到是否ProductShow.asp的包含文件中存在的注射漏洞?
登录成功代码asp使用的request()方式获取 id这个参数,然后完全不加过滤就直接提交给数据库。存在很明显的注入漏洞。但是同样的问题我们发现在其他页面也存在。可是其他页面却不存在注入漏洞,而且我从官方下载来的ProductShow.asp文件也同样不存在注入漏洞。到底是怎么回事?一开始还想要去好比赛官方直接拿他那份修改过的asp技术。呵呵。后来考虑到是否ProductShow.asp的包含文件中存在的注射漏洞?
