文章作者：oldjun[S.U.S]
信息来源：oldjun's blog（www.oldjun.com/blog）

注意:文章已经发表在2008第7期《黑客防线》上,转载请注明出处。（最近拿站比较多，没来得及写日志，拿这篇文章凑数！）

几个月前，DVBBS php2.0暴了一个可以直接读出管理员密码的sql注入漏洞，当时这个漏洞出来的时候，我看的心痒，怎么还会有这么弱智的漏洞，DVBBS p

[阅读全文]

漏洞描述（具体引用原文如下）：
中国应用最广泛的论坛程序，最新dvbbs8.2的注入漏洞0day 包括官方版本在内的access及sql版本。漏洞存在源程序 login.asp
Login.asp 程序在检查隐藏值user用户名的登陆时没有过滤特殊符号，导致可以利用sql注入方式猜解出论坛管理员及所有用户的密码或者执行其它高级的sql语句直接威胁到服务器安全。
特别注意：admin等。。。必须在论

[阅读全文]