早就写好的，本不想放出来，毕竟用L-Blog的人很多，但如果被人恶意利用那就天下大乱了，所以....
本文只写出了漏洞的存在，并没有写具体如何操作入侵，希望Loveyuki看了赶紧修补。

涉及版本：
^^^^^^
L-Blog官方所有版本(进入后台漏洞只存在于L-Blog 1.06 (SE) Final和L-Blog 1.08 (SE) Final)

危害：
^^^^
普通会员可以发表、修改、删除日志，可以直接进入后台管理。怕怕 。

描述：
^^^^
L-Blog是一款由Loveyuki开发的源代码开放的Asp Blog，由于其用户验证采用Cookies方式，而又没对其进行严格校验，进而威胁整个Blog或服务器安全。

具体：
^^^^
很简单的Cookies欺骗，我想就不用我说了吧，至于如何进入后台，也很简单，’ or ‘1’=’1,很经典也很古老的漏洞，想不到Loveyuki会犯这样的低级错误！

解决方案：
^^^^^^
个人觉得可以加入数据库的校验，也可以采用Session，如果不会修改那就等Loveyuki出补丁了。


后记：希望大家不要做任何违法的事情，本站不负任何法律责任。
(此漏洞本站已修补，请不要再试，谢谢合作！)

                                                                                  
                                                                   By sfzhi
                                                                   2004.10