BJXSHOP网上购物系统全系列产品漏洞

BJXSHOP网上购物系统全系列产品漏洞 ps:哈哈，怎么和动感得漏洞这么象呢！文件也一样！不会用得是同一个程序修改来得吧！不想多说了，大家玩吧！

发现者：Neeao [Bug.Center.Team] 
程序名称：伴江行网上商城系统 
影响版本：所有版本(包括官方所有演示版本)
系统开发：伴江行设计中心 
官方地址：http://www.gzshopping.com
漏洞等级：危险
详细说明：注入漏洞

存在漏洞文件：
textbox.asp
textbox2.asp
textbox3.asp

本来这个是后台修改新闻时候显示内容的东西，本页一个代码就可以了，不知道作者为什么非要用一个文件来显示出来，
而且还放在程序跟目录下！没有做任何限制就放在了哪里，调用，可见作者是多么的粗心！

测试方法：textbox.asp?action=modify&newsid=任意一个存在的id！
textbox3.asp?action=modify&bookid=任意一个存在的id！
textbox2.asp?action=modify&newsid=任意一个存在的id！
就可以注入了！如果用sql版的话数据库权限设置不当的话，很容易获得系统权限！^_^！

漏洞补丁：已经通知了官方了！
临时解决方法；过滤变量啊！