Blog更新日记070526

转自:PJBlog官方技术支持论坛


PJBLOG严重外部提交漏洞以及广告机防治方案




很难理解为什么会有那么多的广告机,而且即使验证码显示为空白照样会有很多广告。最后终于发现是因为PJBLOG存在严重外部提交漏洞。

漏洞成因:







blogcomm.asp文件对验证码判断不严格。

如果用户没有请求过GetCode.asp文件,那么服务器端Session里面的GetCode值为空,而用户提交的数据里面验证码也为空,这样刚好空等于空,反而通过了验证码验证。


修正方式:

修改blogcomm.asp文件,在94行的If判断表达式中加入









or IsEmpty(Session("GetCode"))


完整语句:







IF (memName=empty or blog_validate=true) and (cstr(lcase(Session("GetCode")))<>cstr(lcase(validate)) or IsEmpty(Session("GetCode"))) then


留言本的在bookaction.asp的80行









IF cstr(lcase(Session("GetCode")))<>cstr(lcase(validate) or IsEmpty(Session("GetCode"))) then

引用通告地址: 点击获取引用地址
标签:  PJBlog 更新
评论: 0 | 引用: 0 | 阅读: 3070
 加入网摘
发表评论
昵 称(*): 密 码:
网 址: (*)邮 箱:
选 项:    
头 像:
内 容(*):