动网14日发现的漏洞临时解决方案

概述下午发现公司论坛被人进入，幸好那人慈悲为怀，只在广告管理处加了一段嵌入包含木马文件的网址的代码，没有删我站的数据。 问题严重，是不是动网又发现了漏洞，并已发布了补丁，而我还没有去更新呢？ 打开动网论坛，...

下午发现公司论坛被人进入，幸好那人慈悲为怀，只在广告管理处加了一段嵌入包含木马文件的网址的代码，没有删我站的数据。

问题严重，是不是动网又发现了漏洞，并已发布了补丁，而我还没有去更新呢？

打开动网论坛，发现6月份又有更新文件。突然一条："出现dvbbs sp2 sql版 sql注入工具，请及时推出补丁"的贴子引起了我的注意，打开一瞧，说是利用showerr.asp的漏洞，提交一次后，将指定用户设为前台管理员，前台密码设为你预定的，再执行自动生成的SQL语句即可将当前用户设为后台管理员，登录用户名是gxgl.com，密码跟前台一样。

根据此条信息，马上找到了相应的漏洞入侵软件，强吧!

经实际测试，确实如此，汗!!!

动网没有找到此方面的补丁，怎么办呢？

仔细看软件的返回结果，发现：
User-Agent: Mozilla/4.0 (compatible;M;M;M;','论坛首页',7,'',2) update Dv_User set UserPassword='4621d373cade4e83',UserGroupID=1 where username='桂林老兵'--netscape

明白了，好高级的sql注入手法，于是从User-Agent入手。在inc/Dv_ClsMain.asp中发现其Cls_browser类Class_Initialize时，Agent=Request.ServerVariables("http_USER_AGENT")，我试着加上了DVBBS.checkstr()，进行单引号的过滤。上传后，再使用那个软件测试，发现无效。哈哈，补漏成功! 

以下是临时解决方案，同时希望动网官方尽快出补丁！

请在inc/Dv_ClsMain.asp中查找：

Agent=Request.ServerVariables("http_USER_AGENT")

将这句改为：

Agent=DVBBS.checkStr(Request.ServerVariables("http_USER_AGENT"))

即可。

-----------------------------------------------------------------------------------

20：10，汗！动网的fssunwin告诉我，7日的inc/Dv_ClsMain.asp就已经更新了此漏洞了，看来偶是白忙了。

再次提醒使用动网的用户，要及时去动网看看是否有新的补丁下载。

总结

以上是内存溢出为你收集整理的动网14日发现的漏洞临时解决方案全部内容，希望文章能够帮你解决动网14日发现的漏洞临时解决方案所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。