Virtual Programming VP-ASP Shopping Cart CatalogID SQL注入漏洞
添加时间:
2005-08-17
系统编号:
WAVDB-00435
BUGTRAQ: 9967
影响版本:
Virtual Programming VP-ASP 4.0-5.0
程序介绍:
解决方案:
如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
* 编辑'shopreviewlist.asp'和'shopreviewadd.asp' :
使用如下代码:
If not isnumeric(catalogid) then
shoperror LangNoCatalogId
end if
代替如下行:
If catalogid= then
shoperror LangNoCatalogId
end if
厂商补丁:
Virtual Programming
-------------------
2003年7月10日后的VP-ASP 5.0已经修补此漏洞,建议用户下载使用:
http://www.vpasp.com/
信息来源:
<*来源:Virtual Programming *>
2005-08-17
系统编号:
WAVDB-00435
BUGTRAQ: 9967
影响版本:
Virtual Programming VP-ASP 4.0-5.0
程序介绍:
Virtual Programming VP-ASP是一款商业性质的电子购物应用系统,由ASP脚本编写。
漏洞分析:
Virtual Programming VP-ASP的登录脚本对用户提交的输入没有很好的过滤,远程攻击者可以利用这个漏洞获得敏感信息。
在使用SQL查询时对用户提交给'catalogid'参数的数据没有充分过滤SQL输入,攻击者可以进行SQL注入攻击,可能获得管理员密码信息或其他敏感信息,也可对数据库进行更改。
解决方案:
如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
* 编辑'shopreviewlist.asp'和'shopreviewadd.asp' :
使用如下代码:
If not isnumeric(catalogid) then
shoperror LangNoCatalogId
end if
代替如下行:
If catalogid= then
shoperror LangNoCatalogId
end if
厂商补丁:
Virtual Programming
-------------------
2003年7月10日后的VP-ASP 5.0已经修补此漏洞,建议用户下载使用:
http://www.vpasp.com/
信息来源:
<*来源:Virtual Programming *>