【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 【业内】良精企业管理系统注入漏洞 [打印本页]

作者: 海龟 时间: 2009-8-19 13:31 标题: 【业内】良精企业管理系统注入漏洞

漏洞fff">文件：

en/DownloadShow.asp

chinese/DownloadShow.asp

漏洞利用：

在百度键入：
inurl: (DownloadShow.asp?DownID=)

在谷歌键入：
allinurl: DownloadShow.asp?DownID=

获得搜索页面地址复制下来.打开阿D2.32.将地址粘贴到检测地址栏里就会看到软件下方有很多可用注入点

比如：链接标记http://www.ioptron.cn/Chinese/DownloadShow.asp?DownID=50

删除：Chinese/DownloadShow.asp?DownID=50

在域名后面加上后台路径：BOSS 也就是链接标记http://www.ioptron.cn/boss/

漏洞说明:
downid,过滤不严,导致sql注入的产生

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)