本机IIS上以admin身份登录，成功。

保持，不要关闭窗口。

新建一窗口，直接打开远程站点，论坛首页（开源自带club首页）。

OK！

我们看到了什么？

远程刚刚打开的论坛那首页上，我们已经以最高权限的身份，成功的登陆网站了！！

然后手工输入论坛各个网址，均显示admin，欢迎您。

密码？验证码？

一概绕过！！一概不需要！！

也就是我只要知道谁的站点是开源系统，本机admin登陆后，

如果您的最高权限名也是admin，好，您的论坛我随便最高权限登录。

求助各位，骂我可以，但最好附上解决方案。

真诚求助！！

cookies 把你的管理员记录在本地  正好服务器上的管理员帐号密码也是跟本地一样的 就直接登录了

我语文不好 不知道该怎么讲~~总之楼主你的担心是多余的 照你这么说 你都能登科讯的管理员后台了~~

报纸说的很对

不过我觉得还是应该改一下 这会不会导致另外一个漏洞的出现呢？

小白不小白，本身用这种系统建站，大多数人不喜欢直接去研究源代码。
我承认我小白，也懒得去打开源代码一行一行的看。

所以没研究是eastyes说的cookie的缘故，还是session导致的混乱。
也没有去查看如果是cookie导致，那么源代码到底有没有去判断密码，还是直接检验的用户名。

但是我只知道，这种情况，属两个网站cookie或是session混乱了。
而假设我用163.com注册登录后,在sohu上注册相同的用户名和密码,如果能直接登录，那将是不会被原谅的，当然我也做了测试，在其他网站上相同的用户名和密码在科讯上不会出现这个情况，但是科讯和科讯的就可以视而不见了么？

毕竟多数人不想看到，我只想请教有没有人解决了这个问题，因为毕竟这不是某些人说的根本不是问题。

小白就小白，就因为是小白，才想知道如何解决问题的办法，和是否是小白没有关系。

操，还是自己找代码解决吧。

这个是cookies导致的。打开ks_cls/kesion.versioncls.asp

找到

SiteSN="KS7"

改成其它的加密前缀。就不会有这情况了。