动力(My Power)系统Announce.asp文件SQL注射漏洞
MY动力系统中的Announce.asp文件存在着SQL注入漏洞,使得有经验的攻击者可通过SQL注入来获得管理员密码(被MD5加密过的)等一切他想要的资料。但不能进行删除数据等操作。但这已经相当危险了,与数据库被下载同样危险。 漏洞原因: 引起此漏洞的代码为Announce.asp中的第10、11行: ChannelID=Trimrequest ChannelID sqlAnnounce= select from Announce where IsSelected=1 and ChannelID=0 or ChannelID= & ChannelID &...