JoeKoeV6.5Post_Poll.asp漏洞。

fengdongren

晚上检查了一下JoeKoe V6.5系统是否存在SQL注入漏洞，发现一处SQL注入威胁：

1. <!-- #include file="include/config_forum.asp" -->
   
2. <!-- #include file="include/config_poll.asp" -->
   
3. <% if not(isnumeric(forumid)) then call cookies_type("forum_id") %>
   
4. <!-- #include file="include/config_frm.asp" -->
   
5. <!-- #include file="include/conn.asp" -->
   
6. <%
   
7. call forum_first()
   
8. dim reid,founderr
   
9. call web_head(2,0,2,0,0)
   
10. 
    
11. strRqPollType        = Request.Form("Vote_Type")
    
12. strRqPollID        = Request.Form("VoTE_ID")
    
13. strRqTopicID        = Request.Form("ToPIC_ID")
    
14. &#39;strRqCatID        = Request.Form("CAT_ID")
    
15. strRqForumID        = Request.Form("FoRUM_ID")
    
16. strRqMyChoice        = Request.Form("myChoice")
    
17. reid=strRqTopicID
    
18. forumid=strRqForumID
    
19. 
    
20. &#39;if int(popedom_format(login_popedom,41)) then call close_conn():call cookies_type("locked")
    
21. &#39;-----------------------------------center---------------------------------
    
22. response.write reply_chk()
    
23. &#39;---------------------------------center end-------------------------------
    
24. call web_end(0)
    
25. 
    
26. function reply_chk()
    
27. founderr = ""
    
28. if GetPollUsers(strPollUser) = "yes" then
    
29.         founderr =  "<LI>请不要重复投票！<br>"
    
30. end if
    
31. 
    
32. if strRqMyChoice = "" then
    
33.         founderr =founderr&"<LI>你未选投票，请重投！<br>"
    
34. end if
    
35. 
    
36. 
    
37. strSql = "SELECT V_ID, ToPIC_ID, V_NUM, V_USER, V_DETAIL, V_TYPE, V_HIDE FRoM BBS_VoTE "
    
38. strSql = strSql & " WHERE V_ID = "& strRqPollID
    
39. set vrs = Conn.Execute (strSql)
    
40. if vrs.eof and vrs.bof then
    
41.    founderr=founderr&"<li>请您选择投票的主题进行投票。<br>"
    
42. end if
    
43. if founderr="" then
    
44.    strTopicID        = vrs("ToPIC_ID")
    
45.    strPollNum        = vrs("V_NUM")
    
46.    strPollUser        = vrs("V_USER")
    
47.    strPollDetail= vrs("V_DETAIL")
    
48.    strPollType        = vrs("V_TYPE")
    
49.    strPollHide        = vrs("V_HIDE")
    
50.    strRqMyChoice= Replace(Request.Form("myChoice"), ", ", ",")
    
51.    strPollChoiceArr        = Split(strRqMyChoice, ",")
    
52.    For J = 0 To UBound(strPollChoiceArr)
    
53.           strPollNumArr = Split(strPollNum, ",")
    
54.           strPollNumArr(strPollChoiceArr(j)) = cInt(strPollNumArr(strPollChoiceArr(J))) + 1
    
55.           
    
56.           &#39;-----------------V_NUM
    
57.        
    
58.           strPollNum_New= ""
    
59.           For P = 0 To UBound(strPollNumArr)
    
60.              strPollNum_New = strPollNum_New & strPollNumArr(P) & ","
    
61.           Next
    
62.           strPollNum = Left(strPollNum_New, Len(strPollNum_New)-1)
    
63.           Set strPollNumArr = Nothing       
    
64.           
    
65.           &#39;-----------------V_DETAIL
    
66.           strPollDetailArr= Split(strPollDetail, ",")
    
67.           strPollDetailNew= Replace(Replace(strPollDetailArr(strPollChoiceArr(j)), "{", ""), "}", "")
    
68.           If strPollDetailNew = "" Then
    
69.                   strPollDetailNew        = "{" & login_username & "}"
    
70.           Else
    
71.                   strPollDetailNew        = strPollDetailNew & "|" & login_username
    
72.                   strPollDetailNew        = "{" & strPollDetailNew & "}"
    
73.           End If
    
74.           strPollDetailArr(strPollChoiceArr(j))        = strPollDetailNew
    
75.                   &#39;----------------V-DETAIL
    
76.           strPollDetail = ""
    
77.           For Q = 0 To UBound(strPollDetailArr)
    
78.              strPollDetail = strPollDetail & strPollDetailArr(Q) & ","
    
79.           Next
    
80.           strPollDetail = Left(strPollDetail, Len(strPollDetail)-1)
    
81. 
    
82.         Next
    
83. 
    
84. 
    
85.         &#39;---------V_USER
    
86.         if ""&strPollUser&"" = "" then
    
87.                 strPollUser = login_username
    
88.         else
    
89.                 strPollUser = strPollUser & "," & login_username
    
90.         End if
    
91.        
    
92.         strSql = "UPDATE bbs_vote SET "
    
93.         strSql = strSql & "V_NUM = &#39;" & strPollNum & "&#39;"
    
94.         strSql = strSql & ", V_USER = &#39;" & strPollUser & "&#39;"
    
95.         strSql = strSql & ", V_DETAIL = &#39;" & strPollDetail & "&#39;"
    
96.         strSql = strSql & " WHERE V_ID = " & strRqPollID
    
97.         Conn.Execute (strSql)
    
98. 
    
99.     response.write forum_top("进行投票") & kong       
    
100.         response.write VbCrLf & "<table border=0><tr><td align=center height=200>" & _
     
101.            VbCrLf & "<table border=0 width=300>" & _
     
102.            VbCrLf & "<tr><td align=center height=30><font class=red>成功进行了投票！谢谢您的投票。</font></td></tr>" & _
     
103.            VbCrLf & "<tr><td height=30>您现在可以选择以下操作：</td></tr>" & _
     
104.            VbCrLf & "<tr><td>　　1、<a href=&#39;forum_view.asp?forum_id=" & forumid & "&view_id=" & reid & "&#39;>您所投票的帖子</a>" & _
     
105.            VbCrLf & "<tr><td>　　2、<a href=&#39;forum_list.asp?forum_id=" & forumid & "&#39;>返回 <b>" & forumname & "</b></a></td></tr>" & _
     
106.            VbCrLf & "<tr><td>　　3、<a href=&#39;forum.asp&#39;>返回论坛首页</a></td></tr>" & _
     
107.            VbCrLf & "<tr><td height=30>系统将在 " & web_var(web_num,5) & " 秒钟后自动返回 <b>您所投票的帖子</b> 。</td></tr>" & _
     
108.                    VbCrLf & "</table>" & _
     
109.            VbCrLf & "</td></tr></table>" & _
     
110.            VbCrLf & "<meta http-equiv=&#39;refresh&#39; content=&#39;" & web_var(web_num,5) & "; url=forum_view.asp?forum_id=" & forumid & "&view_id=" & reid & "&#39;>"
     
111.   else
     
112.     response.write found_error(founderr,"350")
     
113.   end if
     
114. end function
     
115. %>

复制代码

原版本没有对 Request.Form 的数据进行检验，容易发生SQL注入的攻击。
但由于是 Request.Form 数据，威胁发生的可能性较小(需要借助工具)。。

请Steven检查一下这个文件有没有修正过。

斌哥

谢谢楼主！

让大S查查看！

管理员

本版本不带论坛投票功能。谢谢。[emb6]

fengdongren

以下是引用管理员在2006-12-30 10:59:46的发言：[br]本版本不带论坛投票功能。谢谢。[emb6]

有先见之明啊，呵呵。
不过这套系统也够老的了，趁现在帖子还不多，有机会还是换套系统吧 :-)
首推Discuz！

管理员

曾试过转换论坛程序，难度较大，也失败过几次。
且现在服务器空间不足，暂不考虑了。