微点交流论坛

标题: ASP Photo Gallery 多个SQL注入的漏洞 [打印本页]

作者: pioneer 时间: 2008-1-17 09:52 标题: ASP Photo Gallery 多个SQL注入的漏洞

来源

secunia.com

软件名

ASP Photo Gallery 1.x

描述

这可恶意进行SQL注入攻击
thumbricerca.asp 中传递到"ricerca"的参数，Imgbig.asp, thumb.asp,和thumbricerca.asp中传递到"id"的参数在用于sql查询前没有被准确过滤，这可通过注入任意sql代码导致操控sql查询

成功执行需要管理员的用户名和密码

该漏洞在V1.0 中已经确认，其它版本可能也受到影响

解决方案

编辑源代码确保充分过滤

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn