解决WordPress不支持中文分类和中文标签等中
让你的服务器支持WAP网站的方法(IIS设置和Ap
Apr
13
找到这些资料不容易啊
作者:普瑞斯特
Web:http://www.hacksb.cn
———————————–
其实呢,漏洞一点都不新,在t00ls都躺了N天了,就是不见有人转出来..
没记错的话这已经是华众第四次出漏洞了..而且每次犯的还都是一个毛病,
我很看好他们的程序员.
这次漏洞出在channeldmectr.asp这个文件上,跟本就没有过滤任何参数.
正好我这里有正版的补丁,打开看下了,打上补丁的channeldmectr.asp文件在第21行到第40行,增加了以下代码:
Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=Request(ParaName)
if IsNumeric(ParaValue) then
SafeRequest=ParaValue
exit Function
else
ParaValuetemp=lcase(ParaValue)
tempvalue="select|insert|delete|union|
join|script|applet|object|’|drop|update|truncate|
create|xp_cmdshell|exec|alter|cast|rename|modify”
temps=split(tempvalue,”|”)
for mycount=0 to ubound(temps)
if Instr(ParaValuetemp,temps(mycount)) > 0 and lcase(ParaName)<>”module” then
call errorpage(-2,”您提交的内容包含了字符["&temps(mycount)&"],请去除后重新提交或联系我们…”)
response.end
end if
next
SafeRequest=ParaValue
end if
End function
代码的大概意思是对其中红色部分的参数进行过滤,禁止提交,防止执行构造好的SQL语句.
下载文件 (已下载 14 次)
作者:普瑞斯特
Web:http://www.hacksb.cn
———————————–
其实呢,漏洞一点都不新,在t00ls都躺了N天了,就是不见有人转出来..
没记错的话这已经是华众第四次出漏洞了..而且每次犯的还都是一个毛病,
我很看好他们的程序员.
这次漏洞出在channeldmectr.asp这个文件上,跟本就没有过滤任何参数.
正好我这里有正版的补丁,打开看下了,打上补丁的channeldmectr.asp文件在第21行到第40行,增加了以下代码:
Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=Request(ParaName)
if IsNumeric(ParaValue) then
SafeRequest=ParaValue
exit Function
else
ParaValuetemp=lcase(ParaValue)
tempvalue="select|insert|delete|union|
join|script|applet|object|’|drop|update|truncate|
create|xp_cmdshell|exec|alter|cast|rename|modify”
temps=split(tempvalue,”|”)
for mycount=0 to ubound(temps)
if Instr(ParaValuetemp,temps(mycount)) > 0 and lcase(ParaName)<>”module” then
call errorpage(-2,”您提交的内容包含了字符["&temps(mycount)&"],请去除后重新提交或联系我们…”)
response.end
end if
next
SafeRequest=ParaValue
end if
End function
代码的大概意思是对其中红色部分的参数进行过滤,禁止提交,防止执行构造好的SQL语句.
下载文件 (已下载 14 次)
