微点交流论坛

标题: Teamworx Server SQL和数据库泄露的漏洞 [打印本页]

作者: pioneer 时间: 2008-12-23 16:59 标题: Teamworx Server SQL和数据库泄露的漏洞

来源

secunia.com

软件名

Teamworx Server

描述

1)传递到default.asp (当"do"被设置为"login"时) 的"password"参数在用来sql查询前没有充分过滤，这可通过注入任意sql代码来操控sql查询
2)由"teamworx.mdb" 数据库文件在web root下在不安全授权时储存，这可通过下载文件来获得敏感信息

解决方案

编辑源代码时确保输入充分过滤。从web root外边删除数据库文件

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn