老秘网_材夜思范文

标题: 动感购物 网上商城系统 [打印本页]
作者: 大明老秘    时间: 2009-9-10 17:29
标题: 动感购物 网上商城系统
程序名称:动感购物 网上商城系统
影响版本:V9.23,V9.26,V9.27Access版
系统开发:动感科技
官方地址:http://www.9911.com.cn
漏洞说明:暴库漏洞

程序说明:动感购物系统是目前网上应用非常多得一个购物系统!

漏洞描述:其数据库连接文件没有做容错处理,导致提交非法字符,使得程序报错,从而得到数据库路径并下载数据库!

厂商补丁:暂时没有!

临时解决方法:

数据库连接文件conn.asp用以下内容替换即可:
_code cellSpacing=1 cellPadding=0 width="90%" border=0>  dim startime,conn,connstr,db,rs_s,rs_s1
startime=timer()
db="shop.mdb"
Set conn = Server.createObject("ADODB.Connection")
c & Server.MapPath(""&db&"")
On Error Resume Next
conn.Open connstr
作者: 大明老秘    时间: 2009-9-10 17:30

把那一段<!--#include file="webtop.asp"-->移到上面


* j1 @; H$ j8 a' s, b; D

>
<!--#include file="webtop.asp"-->
<table width="760" border="0" align="center" cellpadding="0" cellspacing="0" bgcolor="#FFFFFF" class="table-zuoyou">
  <tr>


0 r1 l2 d) A" ]% u) w1 F5 L } P

--改成-下面----------------------------------------------------------------------------------


0 I+ W+ ^4 R d7 u* \3 F

<!--#include file="conn.asp"-->
<!--#include file="webconfig.asp"-->
<!--#include file="funtion1.asp"-->
<!--#include file="webtop.asp"-->
      <%
if request.cookies("snsn")("username")="" then
response.write "<script language=javascript>alert('對不起,您還沒有登陸!');window.history.go(-1);</script>"
response.End
end if

3 s3 D0 z9 I8 k' t% H$ }/ J1 W

哈哈,看了前面的,终于解决了,谢谢前面的仁兄!!!!!!!!!!





欢迎光临 老秘网_材夜思范文 (http://caiyes.cn/) Powered by Discuz! X3.4