安全研究
安全漏洞
LaGarde StoreFront login.asp远程SQL注入漏洞
发布日期:2003-07-13
更新日期:2003-07-17
受影响系统:LaGarde StoreFront 6.0
LaGarde StoreFront 5.0
描述:
BUGTRAQ ID:
8171
Storefront是一款基于WEB的电子购物系统。
Storefront包含的login.asp对用户提交的参数缺少充分过滤,远程攻击者可以利用这个漏洞以任意帐户无需密码登录系统。
login.asp对在处理密码字段时存在SQL注入问题,攻击者提交' or 'a'='a的数据就可以无需密码,以其他帐户登录系统。
<*来源:G00db0y (
G00db0y@zone-h.org)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=105804683203384&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
G00db0y (
G00db0y@zone-h.org)提供了如下测试方法:
User name: ' or 'a'='a
Password : ' or 'a'='a
建议:
厂商补丁:
LaGarde
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.storefront.net/浏览次数:2861
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |