DownPlus 安全补丁 2008-12-12 附修改方法

*可能造成的危害:
因为query.asp的此漏洞不涉及到数据,故不会对数据造成危害,但恶意用户可能会构造一个特殊URL,并诱导其他用户(比如站点的管理
员)去访问这个URL,从而获得该用户的敏感信息(如Cookies),或是将用户跳转到含有木马的页面,使这个用户中木马.请不要随意访问
来历不明或含有特殊字符的URL.

补丁适合版本: DownPlus 2.2 ACCESS/MSSQL

点此下载补丁:http://bbs.DownPlus.com/index.php?s=&showtopic=2846&view=findpost&p=10084

* 定制版本请不要使用这个补丁,定制版本的补丁会另外通过邮件发送,如在24小时内未收到,请联系QQ16958797

过期用户或2.1及之前的版本请手动修复:

* 首先用记事本或EDITPLUS等文本编辑软件打开query.asp文件

第一步:搜索
Request.QueryString("t")
替换为
left(trim(Request.QueryString("t")),1)

说明:1.9之后的版本共有2处,1.9之前版本只有一处,请使用文本编辑器的替换功能,手动修改的话请注意不要改错,比如找到的代码是
m_QueryType = lcase(Request.QueryString("t"))
那么替换后应该是
m_QueryType = lcase(left(trim(Request.QueryString("t")),1))

第二步:搜索
Request.QueryString("class")
找到这段代码的所在行,然后在这行下面添加下面的代码

If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If

如,找到代码的这行为 sClassID = Trim(Request.QueryString("class"))

那么修改后就应该是:
sClassID = Trim(Request.QueryString("class"))
If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If

说明:1.8及之前的版本没有这段代码,无需修改

===========================================================================================
* 什么是跨站脚本漏洞?

所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制的参数,最终显示给来访的用户,导致可以在来访
用户的浏览器里以浏览用户的身份执行HTml代码

(0)

相关推荐

  • DownPlus 安全补丁 2008-12-12 附修改方法

    *可能造成的危害: 因为query.asp的此漏洞不涉及到数据,故不会对数据造成危害,但恶意用户可能会构造一个特殊URL,并诱导其他用户(比如站点的管理 员)去访问这个URL,从而获得该用户的敏感信息(如Cookies),或是将用户跳转到含有木马的页面,使这个用户中木马.请不要随意访问 来历不明或含有特殊字符的URL. 补丁适合版本: DownPlus 2.2 ACCESS/MSSQL 点此下载补丁:http://bbs.DownPlus.com/index.php?s=&showtopic=2

  • WINDOWS SERVER 2008远程桌面端口修改方法

    微软默认的服务器远程端口是3389,这是被很多黑客利用的端口,如何修改掉了,下面我们来说方法 很多朋友在使用WINDOWS操作系统的时候,都喜欢修改远程连接的默认端口.但是很多朋友由于修改端口的方法错误,导致自己不能远程操作服务器,给自己带来了麻烦.在这里,我给大家简单谈谈正确修改远程端口的方法 在开始-----运行菜单里,输入regedit,进入注册表编辑,按先面的路径进入修改端口的地方 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\T

  • 关于SQL Server 2008忘记sa密码修改sa密码的方法图解

    1. 先用Window身份验证方式登陆进去,选择数据库实例,右键选择属性--安全性:把服务器身份验证选项从"Window身份验证模式"改为"SQLServer和Window身份验证模式".点击确定,关闭当前对象资源管理器.   2. 重 新用Window验证方式登陆,在左边的树结构中选择"数据库"下面的"安全性"选项--登录名--sa,右键属性--在"SQLServer身份验证"中输入要设置的sa密码. 3

  • Android编程开发之TextView文字显示和修改方法(附TextView属性介绍)

    本文实例讲述了Android编程开发之TextView文字显示和修改方法.分享给大家供大家参考,具体如下: 一. 新建一个Activity 和 Layout 首先在layout文件夹中新建一个activity_main.xml,在新建工程的时候一般默认会新建此xml文件,修改其代码如下: activity_main.xml 代码 <RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" x

  • C语言将24小时制转换为12小时制的方法

    本文实例讲述了C语言将24小时制转换为12小时制的方法.分享给大家供大家参考.具体实现方法如下: /* * 24小时制转换为12小时制 */ #include <stdio.h> int main() { int n, m; printf("Enter a 24-hour time:"); scanf_s("%d:%d",&n,&m); if (n < 0) { printf("Error1!\n"); syst

  • SpringBoot修改子模块Module的jdk版本的方法 附修改原因

    一.项目目录 即一个空项目里,有两个springboot的Module. 当需要修改kuangshen-es-api这个Module的jdk版本时,可以修改以下内容. 二.修改以下内容 1.pom.xml 修改kuangshen-es-api这个Module的pom.xml文件: <properties> <java.version>1.8</java.version> </properties> 2.Project Structure File->P

  • python中24小时制转换为12小时制的方法

    12-24小时制 编写一个程序,要求用户输入24小时制的时间,然后显示12小时制的时间. 输入格式: 输入在一行中给出带有中间的:符号(半角的冒号)的24小时制的时间,如12:34表示12点34分.当小时或分钟数小于10时,均没有前导的零,如5:6表示5点零6分. 提示:在scanf的格式字符串中加入:,让scanf来处理这个冒号. 输出格式: 在一行中输出这个时间对应的12小时制的时间,数字部分格式与输入的相同,然后跟上空格,再跟上表示上午的字符串AM或表示下午的字符串PM.如5:6 PM表示

  • WPF Slider滑动条的颜色修改方法

    效果如下: 鄙人虽然开发WPF有些时间,但之前一直是一些简单Template和Style改改之类的工作,并没有深入研究过.此次为了完成工作,首先也是网上搜了半天,没有找到合适的代码直接拷贝(搜索能力待提高),干脆就直接静下心来琢磨琢磨. 一开始在界面上就放了Slider,挠挠头,怎么修改Template才能达到效果呢?后来想到了Blend,之前一直听说很强大的界面设计工具,但是一直没有用过,就趁此机会就简单运用了一下.Blend中很牛逼的就是编辑模板,通过创建模板副本,可以看到Slider结构

  • 多特下载站中改首页www.2345.com的解决修改方法

    多特下载站中改首页2345.com的修改方法 多特的软件能不用就不用,解决方法就是把下面的文件保存为ok.reg文件,导入到注册表,直接双击即可,杀毒软件有提示就允许就可以了 复制代码 代码如下: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]   @="\"C:\\Progra

  • UITableViewCell在编辑状态下背景颜色的修改方法

    本文主要介绍的是关于UITableViewCell在编辑状态下背景颜色的修改方法,分享出来供大家参考学习,下面来一起看看详细的介绍: 一.先看下效果图 二.网上很多下面这种答案 UITableViewCell * cell = [tableView cellForRowAtIndexPath:indexPath]; cell.selectionStyle = UITableViewCellSelectionStyleNone; 这样设置,蓝色的选中图标也不会出现. 这种仅限于不编辑的时候,让Ta

随机推荐