①留言本任意用户数据库插马
②数据库未做防下载处理
③注入漏洞
④前台XSS代码后台执行
 影响版本：途途外贸企业网站管理系统工作室版v2.7beat
下载地址：http://down.chinaz.com/soft/30850.htm
 
 
①留言本任意用户数据库插马
漏洞文件/cn/guestbook.asp
因为下载的是免费版本的，不存在留言本，不过官网有这个栏目，相信正版的用户应该也存在，并且官网数据库路径并未修改(☆_☆)
，经过测试，留言本数据能够成功写入数据库。最关键的是数据库后缀是asp！哈哈，直接在留言本写入一句话。好吧菜刀连接之......
 
②数据库未做防下载处理
数据库地址：www.2cto.com \ttdata\ez_turiy_tt.asp
直接用迅雷下载下来，本地找到管理员账号密码，登陆后台后台地址：/ez-admin/index.asp
后台一样能把数据写入数据库。
 
其他的相比而言就是小洞洞啦，不过还是得说一下！
 
③注入漏洞
漏洞文件：\Cn\newscat.asp
不用说了，未过滤，工具添加表：ezsusers
 
④前台XSS代码后台执行
如题。。。。。。
 
 
修复方案：
程序猿应该注意细节，第一过滤，第一次使用提示修改数据库地址，数据库做防下载处理，过滤参数！
作者： 无敌金创药