桃源网络硬盘.Net sql注入漏洞

从华军软件园上看到的, 不过我也找到了一个漏洞,呵呵

来自: http://bbs.newhua.com/viewthread.php?tid=122026 

本漏洞由 sky@黑客动画吧 版权所有，转载请保留出处

发布时间:2007-05-18

影响版本:

桃源网络硬盘.Net所有版本

详细说明:

桃源网络硬盘.Net是一套可用于网络上文件办公、共享、传递、查看的多用户文件存储系统，广泛应用于互联网、公司、网吧、学校等地管理及使用文件

桃源网络硬盘.Net是一款基于ASP.NET的WEB应用程序。

桃源网络硬盘.Net后台过滤不严造成远程攻击者可以利用漏洞进行SQL注入攻击，获得敏感信息。在得到后台地址的前提下，SQL版本通杀，获得webshell。ACC版本获得表内容
[警 告]

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用.风险自负!

http://www.example.com/admin/admin_ly.aspx?ID=86
http://www.example.com/admin/admin_edituser.aspx?username=admin

解决方案:
已经联系官方网站，官方第一时间修补漏洞
目前官方没有解决方案提供