高危 ShyPost企业网站管理系统SQL注入漏洞(DownloadShow.asp)
WASC Threat Classification
- 发现时间:
-
2014-01-23
- 漏洞类型:
-
SQL注入
- 所属建站程序:
-
其他
- 所属服务器类型:
-
IIS
- 所属编程语言:
-
ASP
- 描述:
-
目标站点存在SQL注入漏洞。
ShyPost企业网站管理系统的DownloadShow.asp文件对用户可控参数未作任何过滤,导致SQL注入漏洞。
- 危害:
- SQL注入可被用来获取数据库任意数据,甚至“拖库”等。
- 解决方案:
-
可以使用以下方案:
1、推荐使用防护脚本:防护脚本;
2、加入360网站卫士:http://wangzhan.360.cn。
SQL 注入漏洞演示
如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载