公布日期:
2004.12.13

影响平台:
所有使用Asp Calendar

漏洞危害:
无密码保护。

概述:
Asp Calendar是一款用asp写成用于管理的工具，你可以使用他来增加或者浏览日志，浏览分类或者增加分类。

漏洞：
在Asp clendar里的控制面板没有密码保护，从而恶意用户可以直接通过url访问。

例子
访问www.victem.com/***/admin/main.asp（即ASP Calendar的安装目录）。

你也可以在google里搜索admin/main.asp。

B.C.T小组更新如下：

经过虾饼的操作，发现以上所提到的信息并不是完全的！

大家要测试的话，请在google搜索Maintained with the Ocean12 ASP Calendar Manager v1.01这段

信息，程序的默认数据库为o12cal.mdb（非MD5加密，明文保存），

Dsn.asp为数据库连接文件存在着暴库的危险性，如何实施请自行决

定。