XYCMS健身会所建站系统 v1.1 jsxm_detail.asp 参数id SQL注入漏洞

0x01漏洞简介 XYCMS健身会所建站系统采用asp+access架构。其v1.1版本在/jsxmdetail.asp处对参数id 过滤不严，导致出现SQL注入漏洞。 0x02漏洞详情 该系统默认存在一个管理员数据表adminuser，该表包含管理员名称字段admin和密码 md5加密字段password，远程攻击者可以结合union方式获取敏感信息，登陆后台，上传shell。 0x03修复方案 过滤。...

ecshop数据库默认账户信息，导致网站信息泄漏

简要描述： ecshop在默认安装的时候，安装程序会添加两个管理员账户，虽然管理员账户没有操作权限，但是通过这两个账户还是可以看到网站的订单数据. 详细说明： ecshop在默认安装的时候，安装程序会添加两个管理员账户，虽然管理员账户没有操作权限，但是通过这两个账户还是可以看到网站的订单数据. 这是adminuser表的截图。 漏洞证明： 随便找个ecshop的网站，打开后台,使用用户名:bjgonghuo1密码:bjgonghuo1可登录。 或者使用用户名：shgonghuo 密码：shgonghuo http://www.lefei.com/admin/...