沸腾展望新闻多媒体系统安全缺陷(通杀目前所有版本)
转载请保留版权标记,谢谢
-------------------------------by 大蝉@http://blog.gsnsg.com/weblog/usual/ QQ:271607603------------------------------------------
为什么说是安全缺陷不说是漏洞?因为不是沸腾展望新闻多媒体系统本身的代码问题,问题出在他们使用的zonGG广告系统上,所有版本都忠心耿耿的使用这个系统,都什么年代了,还用这玩艺,呵呵,不多说了,看代码吧:
zongg/login.asp
----------------------------------------------------------------------------------------------------------
<!--#include file="config.asp"-->
<%
adsconn.open adsdata
dim adssql,adsrs,admname,admpass
admname=trim(request("username"))
admpass=trim(request("password"))
set adsrs=server.createobject("adodb.recordset")
asql="select * from admin where admin='"&admname&"'"
adsrs.open asql,adsconn,1,1
if adsrs.bof and adsrs.