风讯FoosunCMS浏览目录创建文件漏洞&xss+up上传鸡肋漏洞利用
FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件,国内领先的第一款开源的、集成web2.0元素的、模块化的CMS建站系统。 高级版功能存储过程的sql数据……
风讯网站管理系统awardAction.asp页面存在SQL注入
发布日期:2010-06.26
信息来源:WAVDB
影响版本:FooSun > 5.0
程序介绍:FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
漏洞分析:
在文件\User\award\awardAction.asp中:
Integral=NoSqlHack(request.QueryString("Integral")) //第14行
if action="join" then
User_Conn.execute("Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values("&CintStr(prizeID)&",'"&session("FS_UserNumber")&"',"&CintStr(awardID)&")")
...
信息来源:WAVDB
影响版本:FooSun > 5.0
程序介绍:FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
漏洞分析:
在文件\User\award\awardAction.asp中:
Integral=NoSqlHack(request.QueryString("Integral")) //第14行
if action="join" then
User_Conn.execute("Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values("&CintStr(prizeID)&",'"&session("FS_UserNumber")&"',"&CintStr(awardID)&")")
...
网易娱乐频道也在用风讯CMS啊
刚群里面朋友发来个链接:
http://ent.163.com/08/0710/05/4GFGDSJU00032DGD.html
打开一看:
用过风讯的都晓得吧?呵呵。
其实风讯CMS很好用的,上手容易、入门快,自己最喜欢的CMS之一。
http://ent.163.com/08/0710/05/4GFGDSJU00032DGD.html
打开一看:
用过风讯的都晓得吧?呵呵。
其实风讯CMS很好用的,上手容易、入门快,自己最喜欢的CMS之一。
