账号通
    

账号  

密码  

3619

查看

3

回复
主题:[反馈BUG]阿里云服务器提示 KesionCMS全版本SQL注入 [收藏主题] 转到:  
chenshikang 当前离线

764

主题

9

广播

11

粉丝
添加关注
级别:六年级

用户积分:2639 分
登录次数:300 次
注册时间:2008/12/4
最后登录:2024/5/17
chenshikang 发表于:2018/3/8 17:23:50   | 只看该作者 查看该作者主题 楼主 
科汛在线网校系统
KesionCMS的/Admin/Include/swfupload.asp文件中的CheckIsLogin()函数中,其中的UpFileObj.Form("AdminPass")未经过滤直接了SQL查询,导致黑客可沟通畸形HTTP请求,进行SQL注入。
 
科汛模板制作 WWW.COLK.ORG 专业仿站 QQ:58291754, 科汛模板制作 WWW.COLK.CN 专业仿站 QQ:58291754
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
科汛官方 当前离线

47268

主题

145

广播

405

粉丝
添加关注
级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
科汛官方 发表于:2018/4/4 11:40:21   | 只看该作者 查看该作者主题 沙发 
请确保程序是最新版本X2.0
经核心,是有过滤的

Dim ChkRS:Set ChkRS =Conn.Execute("Select top 1 a.username,b.userid From KS_Admin a inner join KS_User b on a.username=b.username Where AdminID=" & KS.ChkClng(AdminID) & " and a.PassWord='" & KS.DelSql(replace(Pass,"'","")) & "'")
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
qlfeng 当前离线

1

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:3 分
登录次数:2 次
注册时间:2019/8/14
最后登录:2019/8/14
qlfeng 发表于:2019/8/14 19:47:19   | 只看该作者 查看该作者主题 藤椅 
科汛在线网校系统
改成这个样子啦 还是不行
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
56look 当前离线

807

主题

26

广播

12

粉丝
添加关注
级别:七年级

用户积分:5898 分
登录次数:575 次
注册时间:2007/3/25
最后登录:2020/3/29
56look 发表于:2020/2/11 8:40:07   | 只看该作者 查看该作者主题 板凳 
阿里云检测最新版还是提示有风险
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行1.09961秒 powered by KesionCMS 9.0