VULHUB ™

经代码审核发现blogcomm.asp、class/cls_wap.asp、member.asp存在SQL注入漏洞。 在member.asp文件 1. UID=trim(CheckStr(request.form("UID"))) //191行 2. …………………… 3. set checkUser=conn.execute("select top 1 * from blog_Member where mem_id="&UID" and mem_Name='"&CheckStr(memName)"'") 4. if checkUser.eof then 5. ReInfo(0)="错误信息" 6. ReInfo(1)="<b>不存在此用户<br/>操作失败！</b><br/><a href=""javascript:history.go(-1);"">单击返回</a>" 7. ReInfo(2)="ErrorIcon" 8. SaveMem=ReInfo 9. exit function 10. end if 11. …………………… 12. （214行） 下面给出CheckStr函数原形： Function CheckStr(byVal ChkStr) Dim Str:Str=ChkStr If IsNull(Str) Then CheckStr = "" Exit Function End If Str = Replace(Str, "&", "&") Str = Replace(Str,"'","'") Str = Replace(Str,"""",""") Dim re Set re=new RegExp re.IgnoreCase =True re.Global=True...

经代码审核发现blogcomm.asp、class/cls_wap.asp、member.asp存在SQL注入漏洞。 在member.asp文件 1. UID=trim(CheckStr(request.form(&quot;UID&quot;))) //191行 2. …………………… 3. set checkUser=conn.execute(&quot;select top 1 * from blog_Member where mem_id=&quot;&amp;UID&quot; and mem_Name='&quot;&amp;CheckStr(memName)&quot;'&quot;) 4. if checkUser.eof then 5. ReInfo(0)=&quot;错误信息&quot; 6. ReInfo(1)=&quot;&lt;b&gt;不存在此用户&lt;br/&gt;操作失败！&lt;/b&gt;&lt;br/&gt;&lt;a href=&quot;&quot;javascript:history.go(-1);&quot;&quot;&gt;单击返回&lt;/a&gt;&quot; 7. ReInfo(2)=&quot;ErrorIcon&quot; 8. SaveMem=ReInfo 9. exit function 10. end if 11. …………………… 12. （214行） 下面给出CheckStr函数原形： Function CheckStr(byVal ChkStr) Dim Str:Str=ChkStr If IsNull(Str) Then CheckStr = &quot;&quot; Exit Function End If Str = Replace(Str, &quot;&amp;&quot;, &quot;&amp;&quot;) Str = Replace(Str,&quot;'&quot;,&quot;'&quot;) Str = Replace(Str,&quot;&quot;&quot;&quot;,&quot;&quot;&quot;) Dim re Set re=new RegExp re.IgnoreCase =True re.Global=True re.Pattern=&quot;(w)(here)&quot; Str = re.replace(Str,&quot;$1here&quot;) re.Pattern=&quot;(s)(elect)&quot; Str = re.replace(Str,&quot;$1elect&quot;) re.Pattern=&quot;(i)(nsert)&quot; Str = re.replace(Str,&quot;$1nsert&quot;) re.Pattern=&quot;(c)(reate)&quot; Str = re.replace(Str,&quot;$1reate&quot;) re.Pattern=&quot;(d)(rop)&quot; Str = re.replace(Str,&quot;$1rop&quot;) re.Pattern=&quot;(a)(lter)&quot; Str = re.replace(Str,&quot;$1lter&quot;) re.Pattern=&quot;(d)(elete)&quot; Str = re.replace(Str,&quot;$1elete&quot;) re.Pattern=&quot;(u)(pdate)&quot; Str = re.replace(Str,&quot;$1pdate&quot;) re.Pattern=&quot;(\s)(or)&quot; Str = re.replace(Str,&quot;$1or&quot;) Set re=Nothing CheckStr=Str End Function 可以看出，这个CheckStr函数过滤了',select,or等字符。 但是其中UID没有包含在单引号内，而且对blog_Member 表进行查询，从而导致注入。 PJBlog2 v2.7 Build 04 PJBlog ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.pjhome.net/ target=_blank rel=external nofollow>http://www.pjhome.net/</a>