请谨慎使用blog程序
前几天刚说完LBS,又要说dlog?其实我对asp的blog程序没什么研究,只是刚才VictorWoo http://eedstu.xmu.edu.cn/blog 给了我一个他写的Sql injection的全过程演示,我意外发现他本身使用的blog系统就有sql injection漏洞,在我告诉他之后他说作者已经修复了,这让我很奇怪。同时我把他的rss加入到FeedDemon后,发现channel的标题和link都不正确。这给我传递一个消息是:可能title和link被硬编码了,于是我想下载源代码来看一看。
在继续之前我提一下,其实这些免费的程序都是作者自己在使用的,只是因为好用有网友也需要同样的系统他们才发布给大家免费使用。不管有任何漏洞,我们首先应该感谢作者的劳动,在你们的系统内保留dlog的原始链接。
于是我就google了dlog,找到最原始的站点,破废墟 ,这个名字很熟悉,好像大头绿豆用的就是这个系统,他以前有在鼓浪听涛Blogger板块介绍过。进入dlog相关栏目,我看到这么一篇文章 发现严重的SQL注入漏洞 ,看来虽然发现较晚,但至少是已经修复了呀,不过修复的方法不是太专业。但是。。。当我下载了dlog查看了一下源代码。。。ft,修复只是修复了一个,到处都是Sql injection漏洞,看来这个修复不但没有修复,还传递了一个让人误以为安全的信号。
很明显是作者没有搞明白什么是Sql injection,Sql injection漏洞的核心就是:永远不要相信用户的输入,所有的Request都需要Filter。
其他的我就不说了,总之,还是那句话,我是不敢用的。
在这里提醒要继续使用dlog的网友,因为是access数据库,所以安全性问题应该不会很大,请立刻修改你们的admin密码,越复杂越好,不要跟你任何一个邮箱或者别的系统的密码一样。请立刻备份数据库系统。
这又让我想起oblog ,也是最近,有人邀请我在一个Sharepoint blog上blog,我发觉他们使用的oblog很有特点,可以对单篇blog加密,就随便测试了一下,至少找到几个问题,一是rss2.asp有注入漏洞,二是如果你隐藏了整个blog,但是rss2.asp还是会把所有信息都显示出来(这只能算是一个bug)。。。只是oblog是商业版本。。。还是sql版本,花了钱买了漏洞。。。