BBSGood论坛程序labelsave.asp页面SQL注入漏洞

BBSGOOD是国内首创使用缓存技术的论坛，BBSGOOD的帖子和列表首页是可以生成静态HTML文件的。 在文件labelsave.asp中： sql="select top 1 Admin,UserName,Password from BBSGoodAdmin where UserName='"&Request.Cookiesbbsinfo&"adminuser"&"' " //第115行 程序没有验证用户是否登陆，导致cookies的值没有过滤而产生注入漏洞。 BBSGood 5.0/5.0.2 厂商补丁： BBSGood.Speed -------...

BBSGood论坛程序indexedit.asp页面SQL注入漏洞

在文件indexedit.asp中： sql="select top 1 Admin,UserName,Password from BBSGoodAdmin where UserName='"&Request.Cookiesbbsinfo&"adminuser"&"' " //第484行 Set rs = Server.CreateObject"ADODB.Recordset" 程序没有验证用户是否登陆，导致cookies的值没有过滤而产生注入漏洞 BBSGood 5.0/5.0.2 厂商补丁： BBSGood.Speed -------...