5UCMs 漏洞与防范措施v1.2.2024 后台未验证及 SQL 注入简要描述：后台文件未做验证，已经过滤不严格导致 SQL 注入详细说明：文件位置 admin/ajax.asp24 行 Case modeext.26 行 ecid=Replace(Request(cid),)27 行 cid=Replace(Request(id,).31 行 set rs=db(select modeext from prechange where id=& ecid,1).38 行 类似 31 描述由于 wherer id= 接受数字型的值，所以这里仅仅过滤单引号是不够的漏洞证明：admin/ajax.asp?act=modeext&cid=SQL&id=SQL漏洞描述：未对是否登录进行判断重要 、未过滤 ecid 和 cid防范措施：打开 admin/ajax.asp 找到 Dim ID,Key,Rs,i 在这行上面加入代码 Call ChkLogin(login) 找到 set rs=db(select modeext from prechannel where id= & ecid,1) 更改为 set rs=db(select modeext from prechannel where id= & clng(ecid),1)找到 set es=db(select modeindex from precontent where id= & eid,1) 更改为 set es=db(select modeindex from precontent where id= & clng(eid),1)漏洞描述：HTTP_REFERER 伪造利用防范措施：打开 in/function.asp找到 if len(Msgstr) 0 then response.write 在这行代码下面加入 response.endif len(Msgstr) 0 then response.write 有二行，在第二行下面加入处安全建议：打开 plus/count/js.asp找到 Call DB(Update preContent Set Views=Views+1 Where ID= & ID,0) 更改为 Call DB(Update preContent Set Views=Views+1 Where ID= & clng(ID),0)已修补漏洞网站展示：你可以测试一下，已经无法入侵.www.baidusf.infowww.sf200.infowww.sf300.info www.sf2000.infosf600.info www.sf700.infowww.sf900.infowww.sf1000.infowww.sf3000.infowww.sf500.info www.21ol.info22ol.info www.23ol.infowww.24ol.info30ok.25ol.info www.27ol.info3yu3.infoflcpol.infofucaiol.infossq.ssqol.info zuixinsf.info zuixinsifu.info chuanqisifu.sf200.info17o.info chuanqisifu.sf2000.info chuanqisifu.sf600.infochuanqisifu.sf700.infochuanqisifu.sf900.infochuanqisifu.sf1000.infochuanqisifu.sf3000.infochuanqisifu.sf500.info moyusifu.baidusf.infochuanqisifu.21ol.infochuanqisifu.22ol.infochuanqisifu.23ol.info35r.info chuanqisifu.25ol.infochuanqisifu.27ol.infochuanqisifu.flcpol.infochuanqisifu.fucaiol.infochuanqisifu.ssqol.info37d.info38z.info3g.xinsf.info shandongwangtong.xinsf.infoliaoningwangtong.100ol.infomir3.100ol.info wtmir3.26ol.info cqsf.26ol.info waigua.28ol.infoshengda.28ol.info shuayuanbao.xinsf.infowww.001sf.info2yue.chuanqisifu5.comwww.1000sf.infowww.100sf.info10sf.infowww.10sf.info3000sf.infowww.3000sf.infokehuduan.29ol.info mir3.30ol.infowww.xmjbjd.cntianlongbabusifu.30ol.info185.33ol.infotianlong.33ol.infochuanqisf.35ol.info 176.35ol.infowoool.38ol.infoshumensifu.38ol.infomoyusifu.40ol.infomoyusifu.6m4.infoaaa.oneeasy.cnsifu.6m3.infomir3.44ol.info heji.44ol.infodasf.infowww.dasf.info haowande.55ol.info laosf.infowww.laosf.infoxiaosf.infowww.xiaosf.infoxinsf.infowww.xinsf.infowww.chuanqisifu5.comwar3.55ol.info176.58ol.infowww.axzzz.com 3g.59ol.infowow178.59ol.info01sifu.comwww.3qgo.com www.00ol.info bbs.00ol.info mir.20ol.info www.01ol.infowww.02ol.infowww.04ol.info my.03ol.infowww.05ol.infowww.hao-sf-123.comwww.07ol.info www.08ol.infowww.09ol.infowww.10ol.infowww.11ol.infowww.12ol.infowww.13ol.infowww.14ol.infowww.15ol.info www.16ol.info www.17ol.info www.18ol.infowww.19ol.infowww.20ol.infomir.00ol.infosifu.00ol.infomaoxiandao.04ol.infosif.17OL.INFO jjj.18ol.info 411444.19ol.infomxdsf.04ol.infow.01ol.info w1.02ol.info mir.03ol.infocqsfwg.05ol.infosifu.17ol.info 40aa.18ol.info chuanqisif.19ol.infowow.05ol.infocqsj.06ol.infocqsf185.06ol.infosifu.07ol.infocqwz.14ol.info haosf.20ol.info haosf.64L.infowowsf.07ol.info176fugu.08ol.infofugucqsj.08ol.infomir.3yu3.infochuanqisifu.xiamenol.comwangtong.xiamenol.comsifu.xiamenol.comhejisifu.16ol.info sf123.67q.info mir.xiamenol.commir3.xiamenol.comchuanqi.xiamenol.comww.01ol.info w2.02ol.info mir3.03ol.info mir.01sifu.com ww.xiamenol.comtlbbsf.09ol.infoqijisifu.09ol.info wtqj.10ol.inforxjhsf.10ol.infowg.11ol.info zhuxiansifu.12ol.infocqsffb.12ol.infozhengtusifu.13ol.infozhuxian2sifu.13ol.infoztsf.14ol.info 922gg.20ol.info haosf123.64L.info sf138.67q.info64L.infokehuduan.15ol.info zhongbian.15ol.infofangshengda.16ol.infoheji.67q.info100ol.info26ol.info28ol.info29ol.info30ol.info33ol.info185.35ol.info 38ol.infow.6kr.info44ol.infocqsj.55ol.info 58ol.info59ol.info66ol.info68ol.info69ol.info78ol.info88ol.info98ol.info99ol.info888ol.info www.6kr.infowww.6m3.infowww.6m4.infowww.6ut.infowww.6uz.infowww.6wt.infozuixin.6yp.info www.6yq.infowangtong.71o.infowww.71t.infowww.72v.infowww.73t.infowww.73z.infowww.74z.infowww.76i.infowww.76o.info www.76v.infomoyu.78y.info www.79w.infowww.7aj.infowww.7aw.infoxiamenol.com0sifu.com www.sifuol.comsifuol.comwww.1pi.info1wo.info 4xu.info 53q.info54x.info59l.info7fu.info86p.infowww.chuanqige.com 9v6.infojb5.info l5f.infol6i.infol6w.infol8h.infol8f.infol8o.infol8s.infol8u.infol9y.infoqh3.infowool.9v6.infoz17.info0r9.info0v5.infowww.0w4.infoww.l5f.info 0z1.info 0z2.info xinkai.l6i.info114ol.info126ol.info dengluqi.l6w.info139ol.info 3000ok.chuanqisifu5.comhaosf.chuanqisifu5.com1nw.info1o8.info265ol.info 30n.info666ol.infosif.l8f.infoqu0.infoy28.infosf.baidusf.infosf.sf1000.infosf.sf200.infoww