簡要描述:
後台相關管理檔案只簡單地做了cookie驗證,可以在遠端客戶端實施cookie欺騙獲得管理系統許可權
詳細說明:
'許可權設定 //驗證許可權部分,僅對客戶端cookie進行驗證
if request.cookies("mofei")("mofeiname")="" or request.cookies("mofei")("mofeiid")="" or request.cookies("mofei")("mofeiip")<>request.servervariables("remote_addr") then
response.redirect "show_error.asp?eid=你不是www.2cto.com管理員!請確定你是否有此許可權!"
end if
if request.cookies("mofei")("banid")="ban11" then //相關管理操作
漏洞證明:使用帶有cookie修改功能的瀏覽器或瀏覽器外掛程式,將本地cookie修改為"mofei=mofeiid=1&banid=ban11&banid5=ban115&mofeiname=mofei&mofeiip=127.0.0.1"然後訪問管理頁面.即可以管理許可權進行相關操作,包括操作管理賬戶、備份站點資料庫等...
修復方案:
增加其他的遠端伺服器許可權驗證方法
作者 ゼ羽人@烏雲
新聞管理系統(C )
1.新聞類別表category 2.新聞表news 引數 newsid id 引數 title content caid 引數 caid caid 引數content varchar 根據字元值匹配,取出最匹配的10條新聞按時間排列 引數id 引數title varchar 根據字元值匹配,取出最匹...
7 2PHP新聞管理系統需求分析
第一章 引言 1.1研究意義 1.2開發環境的搭建與開發拿工具 第二章 系統分析 2.1需求分析 2.2可行性分析 第三章 概要設計 3.1系統功能結構圖 3.2實體關係圖 3.3系統功能模組設計 3.4 資料庫設計 第四章 詳細設計 4.1目錄結構 總目錄 檔案 功能 config.php 系統配...
易飛 易飛ERP系統許可權管理之資訊控制的運用
摘要 由於公司管理需求bom設定的不太準確,以及機台執行效率問題,乙個機台有n個軸。存在生產部向倉庫借料的情況 公司規定領料,調撥等生產部只有錄入修改刪除的許可權,倉庫審核許可權,同時倉庫本身也可能會開立單據。如何防止 倉庫人員修改生產人員錄入的資料呢?易飛9.0增加了乙個組許可權和他組許可權。如何...