作者：jannock

今日来分析一下风讯的产品的安全性。
风讯管方最新下载，FoosunCMSv4.0sp5完整版(含模板)。安装后，查看了一下代码，发现多处SQL 注入。不由心地发出一句：这样的产品，你敢用吗？
对于ASP版。
1、漏洞文件
/User/i_Blog/Public_Save.asp
38行 p_FileName = Request.Form("FileName")
53行 set rstf = User_Conn.execute("select FileName,FileExtName From FS_ME_Infoilog where UserNumber='"
s_User.UserNumber"' and FileName='"&p_FileName"' and FileExtName='"&P_FileExtName"'")

变量没有过虑就进入数据库查询
测试方法