BBSXP2007的一个漏洞公告

最新推荐文章于 2024-10-08 17:39:57 发布
置顶 最新推荐文章于 2024-10-08 17:39:57 发布
阅读量921 收藏
点赞数
分类专栏: +资源共享+ 文章标签: 公告 数据库 asp 测试 sql
发布时间:2007-7-1
文章作者:yl6364 [t.s.b.c.t]
文章来源: http://sobiny.cn

漏洞消息时间:2007-6-25

漏洞起因

验证不严

影响系统

BSSXP2007

不受影响系统

BBSXP7.0及以下版本

危害

远程攻击者可以利用漏洞任意修改数据库的数据

攻击所需条件

攻击者可以发送数据到网站

漏洞信息

BBSXP是目前互连网上公认速度最快、系统资源占用最小的ASP论坛。(抄的)

BBSXP没有很好的过滤一些变量导致多处sql注入漏洞的产生,远程攻击者可以利用漏洞任意修改数据库

的数据,如提升自己为管理员,甚至得到系统权限。

漏洞报告情况

已经通知官方,请使用BBSXP2007的站长,等待官方补丁。

测试方法

厂商解决方案

目前没有解决方案

 
koalcn
关注
专栏目录
利用最基本的SQL注入渗透BBSXP官方网站的台后管理(科普)
07-17 1492
 漏洞分析 序:有一部电影的名字叫着《全职杀手》,剧中的男主角托尔,我非常喜欢他的个性!他非常的cool,i like!呵呵,不知道你看过这部电影没有?不过,我今天要为大家讲解的故事发现在网络当中.这次是一次非常,常见的sql渗透攻击.也是最基础的.过程如下:1.找出漏洞并分析漏洞.2.利用漏洞,得到前台区长密码.3.利用漏洞,得到后台密码.4.添加公告,闪人!开始工作:到bbsxp官方网站下载最
bbsxp2007 利用后台挂马第一部分
02-17
bbsxp2007 以补上了上传ASA漏洞,不过我们可用数据库备份和恢复功能挂马
BBSXP最新漏洞 简单注入检測 万能password
weixin_34010566的博客
06-05 97
BBSXP最新漏洞漏洞日期:2005年7月1日受害版本号:眼下全部BBSXP漏洞利用:查前台password注入语句:blog.asp?id=1%20union%20select%201,1,userpass,username,1,1,1%20from%20[user]%20where%20membercode=5 查后台password注入语句:blog.asp?id=1%20union%2...
SQL注入总结(一)
qq_43233085的博客
11-14 1393
科普基础 | 这可能是最全的SQL注入总结(一)SQL注入原理SQL注入的分类MySQL与MSSQL及ACCESS之间的区别判断三种数据库的语句基本手工注入流程报错注入报错注入延时盲注多语句注入内联注入 SQL注入原理 当客户端提交的数据未作处理或转义直接带入数据库,就造成了sql注入。 攻击者通过构造不同的sql语句来实现对数据库的任意操作。 SQL注入的分类 按变量类型分:数字型和字符型 按H...
入侵BBSxp方法
得峰的专栏 [网络收藏]
05-11 1277
入侵方法如下:目标bbsxp sql版或者 BBSxp 5.00 beta 2 SQL 的http://xxx.com/bbs注册一个用户:xxx 密码123456 可以xxx 这里123456的md5算法是:E10ADC3949BA59ABBE56E057F20F883E 呵呵 方便第一步:在xxx.co
使用sqlmap进行SQL注入攻击
不忘初心,护天下安全!
11-23 9075
SQL注入攻击的特点 ① Web应用程序没有对用户输入进行合法性验证而产生SQL注入漏洞( “空格”的存在和使用); ② 攻击者通过构造特殊的SQL语句,将指令插入系统原始的SQL查询语句中并执行它; ③ 获取数据库的敏感信息,甚至获取主机的控制权。     SQL注入攻击具有广泛性。 原理 SQL注入的原理 ① 地址http://127.0.0.1/inject.asp?dbtype=sq...
bbsxp2008.rar_bbsxp
09-14
【标题】"bbsxp2008.rar_bbsxp" 指的是一个名为 "bbsxp2008.rar" 的压缩文件,其中包含了 "bbsxp" 的2008年测试版本。"rar" 文件格式是常见的压缩格式,通常用于打包多个文件或文件夹以便于存储和传输。这个压缩包...
bbsxp.rar_bbsxp_留言
09-23
【标题】"bbsxp.rar_bbsxp_留言" 指的是一个名为 "bbsxp" 的ASP留言程序的压缩文件。这个程序是用于在网站上实现互动交流功能,让用户能够发表评论、提出问题或者分享观点。ASP,全称Active Server Pages,是一种...
BBSXP v1.65 简体中文版
10-13
BBSXP代表了一种网络社区平台,旨在提供一个方便用户交流观点、分享信息的环境。这个版本1.65表明它是经过多次迭代和改进的成熟产品,可能包含了更多稳定性和功能性的优化。 【描述】中的信息简洁明了,同样强调了...
BBSXP v1.15
10-13
BBSXP 1.15 Whats New 恢复贴图功能 [img] 使用up.asp更新程序,将更新时间默认值写入数据库,加快程序运行速度 【安装方法】 1.将所有ASP文件和图片文件上传至指定目录(目录可自定) 2.在浏览
常见SQL注入攻击方式
Jo_kong的博客
11-21 8905
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入,让小伙伴有个了解。了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,好啦,话不多说,进入正题~ 如何理解SQL注入(攻击)? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)...
鲁班到家上门安装维修系统源码开发之结构功能解析
weixin_43744973的博客
10-08 586
鲁班到家上门安装维修系统的源码开发是一个复杂但富有成效的过程。通过详细的需求分析、技术选型、功能模块设计以及前后端分离开发,该系统不仅提升了服务效率,还通过数字化管理优化了用户体验。未来,该系统有望在智能家居售后服务领域发挥更加重要的作用,引领行业向更加高效、专业、透明的方向发展。
MySQL之复合查询与内外连接
zdlynj的博客
09-30 1369
前面我们讲解的mysql表的查询都是对一张表进行查询,即数据的查询都是在某一时刻对一个表进行操作的。而在实际开发中,我们往往还需要对多个表同时进行查询。我们这里使用的测试表,为雇员信息表(来自Oracle 9i的经典测试表):EMP员工表,DEPT部门表,SALGRADE工资等级表。
ATAM需求说明-系统架构师(七十六)
ke1ying的博客
10-08 785
1体系结构权衡分析法ATAM(Architecture Trade Off Analyzer Method)是一种常见的结构权衡分析法,该框架主要关注系统的(),针对性能、安全性、可用性和可修改性,在系统开发前进行分析、评价和这种。A共享数据库的集成方式通常将应用程序的数据存储在一个共享数据库中,通过制定统一的数据库模式来处理不同应用集成需求。场景和需求的收集,架构视图和场景的实现,属性模型的构造和分析,架构评价和折中。7企业信息资源集成管理的前提是对企业()的集成,其核心是对企业()的集成。
World of Warcraft [CLASSIC][80][Grandel] Call to Arms: Victory in Wintergrasp
qq 117791303
10-02 347
Wintergrasp 冬拥湖 120 VS 120
同城O2O系统源码与跑腿配送平台的架构设计与开发方案详解
最新发布
meihusdk的博客
10-08 397
同城O2O系统与跑腿配送平台的开发,既是技术的挑战,也是商业机会的探索。通过合理的架构设计与清晰的开发方案,开发者可以构建出高效、稳定且易于扩展的平台,为用户提供更为便捷的服务。
思迅商云开启货号修改语句
xushugang007的博客
10-03 240
insert into t_sys_system (sys_var_id,sys_var_name,sys_var_value,is_changed,sys_ver_flag) values('itemnoisedit','货号、供应商、客户编码修改','1','否','1')use hbposv10 --分店数据库名改成: hbposv10_branch。--开启 货号、供应商、客户编码修改。
bbsxp2008搭建
05-23
bbsxp2008是一款基于ASP.NET的论坛程序,它的主要特点是操作简单,功能齐全,适合个人或小团体的论坛搭建。以下是bbsxp2008的搭建步骤: 1. 确定服务器环境,要求服务器必须支持ASP.NET、IIS等相关技术。 2. 下载bbsxp2008程序,并解压到服务器上的Web目录下。 3. 创建一个SQL Server数据库,并将bbsxp2008目录下的App_Data文件夹中的bbsxp2008.mdf文件和bbsxp2008.ldf文件上传到服务器的数据库目录下。 4. 在服务器上打开IIS管理器,创建一个新网站,并将网站的物理路径指向bbsxp2008所在的目录。 5. 配置数据库连接字符串,在Web.config文件中找到connectionStrings节点,将其中的连接字符串修改为自己的数据库连接字符串。 6. 打开浏览器,在地址栏中输入网站地址,进入安装页面,按照提示进行安装即可。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值