青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
青海西宁网站建设、网站制作公司-西宁威势电子信息服务有限公司 首页 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
 
西宁威势最新网站制做案例展示
Lastest Project
 
西宁网站建设  
当前位置为:首页 >> 脚本安全 >> 正文  
[原创]发现VENSHOP程序的后台登录验证漏洞

文章来源: 西宁威势电子信息服务有限公司     发布时间:2008-11-14    浏览次数:9208    tags:VENSHOP 漏洞 孤行一鬼

        其实漏洞发现很早了,但我一直没有公布出来,今天翻阅资料发现在QQ空间里面有这样的记录,就贴出来吧,供大家研究

发表于:2007年11月1日 10时9分50秒权限: 公开阅读(5)评论(0) 举报本文链接:http://user.qzone.qq.com/147399120/blog/1193882990

      这两天一直想搞一个在线销售系统的网站,于是下下来一个叫VENSHOP的系统,ASP源码,感觉功能还可以,于是乎研究了一下,看了一下他的登录验证页面,代码是这样子写的,大喜,有得搞!
<%
if Request.Cookies("venshop")("admin_name")="" or Request.Cookies("venshop")("admin_pass")="" or Request.Cookies("venshop")("admin_class")="" then
Response.Cookies("venshop")("admin_name")=""
Response.Cookies("venshop")("admin_pass")=""
Response.Cookies("venshop")("admin_class")=""
response.redirect "ad_login.asp"
response.end
end if
%>
管理员登录验证完全是用COOKIES来验证的,而不是SESSION,只要判断那些提交的COOKIES不为空就OK了,忒爽了.马上下一个可修改COOKIES提交的浏览器,修改COOKIES以后提交,马上进后台了,在BAIDU搜索一下VENSHOP的关键字,每个网站都有这个漏洞,随便进想起的网站,官方网站也不例外.

上一篇:摸人发的最短注入码,很牛X
下一篇:aspx一句话
评论列表
正在加载评论……
  
评论   
呢  称:
验证码: 若看不清请点击更换!
内  容:
 
 
  在线洽谈咨询:
点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
与我交谈  与我交谈 与我交谈
乘车路线    汇款方式   加盟合作  人才招聘  
公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
QQ:147399120    mail:lostlove000@163.com    电话: 13897410341    邮编:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
业务:青海网站制做青海网站建设青海网页设计西宁网站制做西宁网站建设青海域名注册青海网络推广青海网站推广青海空间租用青海软件开发网站安全网络安全