【简介】感谢网友“追风少年风追我”参与投稿,下面就是小编给大家整理的凡人网络购物系统Jsp版漏洞分析(共7篇),希望您能喜欢!
篇1:凡人网络购物系统Jsp版漏洞分析
凡人网络购物系统Jsp版是网上少见的JSP开源的程序,说实话JSP的程序确实很少,
这套系统已经 被很多人改过了,所以只能用文件来试是不是这个系统,..数据库是ACCESS难得,以前学校写都是用SQL..所以JDBC那里很熟悉
这文章也没有投稿的价值.. 俺还有更好的文章投稿,所以这个就发出来玩了,代码漏洞百出。看的我都想吐了 有兴趣的朋友自己去下一份最新版的来看
正文:
现在虽然渗透的方法多彩多样,但是最具威胁最简单的还是injection攻击. 对于 injection漏洞的形成无非就是某某变量
没过滤或者过滤不严而已..
这几天一直在看凡人网络购物系统Jsp版的代码。 多少看出来点问题。这里共享下..
这套系统网上使用的并不是很多,但是大部分人喜欢改这套程序来用,所以我只是在笔记本上装了个tomcat环境来测试一下这个漏洞
因为不投稿所以也没截图 只把漏洞代码简单说下
首先看一下就简单的JSP注射漏洞的形成,我从我们教材上随便找了一个后台登陆的代码来分析
现在的学校培训程序员只知道让写代码。对编码安全根本没有意识...
教材上的后台代码:
…… 此处隐藏6567字 ……
首先,注册个用户,如果没找到注册的地方,直接在网址后面输入userreg.asp,
注册并登录,
登录之后不要关闭页面,因为是session验证,现在我们打开这个本地上传页面,
修改action后的地址,并给马儿后面添加一个空格,点击上传就可以,图中红色所示部分就是空格,如图所示
复制页面上所示的木马地址,打开即可。
到此,拿到shell,完整结束。
附上本地上传的这个页面
down.qiannao.com/space/file/yulegu/share/2010/10/1/-672c-5730-4e0a-4f20-6f0f-6d1e.html/.page
