标题:
【业内】良精企业管理系统注入漏洞
[打印本页]
作者:
海龟
时间:
2009-8-19 13:31
标题:
【业内】良精企业管理系统注入漏洞
漏洞fff">文件:
en/DownloadShow.asp
chinese/DownloadShow.asp
漏洞利用:
在百度键入:
inurl: (DownloadShow.asp?DownID=)
在谷歌键入:
allinurl: DownloadShow.asp?DownID=
获得搜索页面地址复制下来.打开阿D2.32.将地址粘贴到检测地址栏里就会看到软件下方有很多可用注入点
比如:
链接标记http://www.ioptron.cn/Chinese/DownloadShow.asp?DownID=50
删除:Chinese/DownloadShow.asp?DownID=50
在域名后面加上后台路径:BOSS 也就是
链接标记http://www.ioptron.cn/boss/
漏洞说明:
downid,过滤不严,导致sql注入的产生
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2