途途外贸企业网站管理系统多处高危漏洞及修复

①留言本任意用户数据库插马 ②数据库未做防下载处理 ③注入漏洞 ④前台XSS代码后台执行  影响版本：途途外贸企业网站管理系统工作室版v2.7beat 下载地址：http://down.chinaz测试数据/soft/30850.htm     ①留言本任意用户数据库插马 漏洞文件/cn/guestbook.asp 因为下载的是免费版本的，不存在留言本，不过官网有这个栏目，相信正版的用户应该也存在，并且官网数据库路径并未修改(☆_☆) ，经过测试，留言本数据能够成功写入数据库。最关键的是数据库后缀是asp！哈哈，直接在留言本写入一句话。好吧菜刀连接之......   ②数据库未做防下载处理 数据库地址： HdhCmsTest2cto测试数据 \ttdata\ez_turiy_tt.asp 直接用迅雷下载下来，本地找到管理员账号密码，登陆后台后台地址：/ez-admin/index.asp 后台一样能把数据写入数据库。   其他的相比而言就是小洞洞啦，不过还是得说一下！   ③注入 漏洞 漏洞文件：\Cn\newscat.asp 不用说了，未过滤，工具添加表：ezsusers   ④前台XSS代码后台执行 如题。。。。。。     修复方案： 程序猿应该注意细节，第一过滤，第一次使用提示修改数据库地址，数据库做防 下载 处理，过滤参数！ 作者： 无敌金创药

查看更多关于途途外贸企业网站管理系统多处高危漏洞及修复的详细内容...