FoosunCMS是一款具有强大的功能的基于ASP+ACCESS…
标签: FoosunCMS
风讯网站管理系统awardAction.asp页面存在SQL注入
发布日期:2010-06.26
信息来源:WAVDB
影响版本:FooSun > 5.0
程序介绍:FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
漏洞分析:
在文件\User\award\awardAction.asp中:
Integral=NoSqlHack(request.QueryString(“Integral”)) //第14行
if action=”join” then
User_Conn.execute(“Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values(“&CintStr(prizeID)&”,'”&session(“FS_UserNumber”)&”‘,”&CintStr(awardID)&”)”)
…
网易娱乐频道也在用风讯CMS啊
刚群里面朋友发来个链接:
http://ent.163.com/08/0710/05/4GFGDSJU00032DGD.html
打开一看:
用过风讯的都晓得吧?呵呵。
其实风讯CMS很好用的,上手容易、入门快,自己最喜欢的CMS之一。