频道栏目
首页 > 安全 > 企业安全 > 正文

良精企业管理系统注入漏洞

2009-08-16 00:11:02           
收藏   我要投稿

Xiaoz

漏洞文件:

en/DownloadShow.asp

chinese/DownloadShow.asp

漏洞利用:

在百度键入:
inurl: (DownloadShow.asp?DownID=)

在谷歌键入:
allinurl: DownloadShow.asp?DownID=

获得搜索页面地址复制下来.打开阿D2.32.将地址粘贴到检测地址栏里就会看到软件下方有很多可用注入点

比如:http://www.ioptron.cn/Chinese/DownloadShow.asp?DownID=50

删除:Chinese/DownloadShow.asp?DownID=50

在域名后面加上后台路径:BOSS 也就是http://www.ioptron.cn/boss/

漏洞说明:
downid,过滤不严,导致sql注入的产生


本篇文章来源于 Xiaoz Blog 转载请以链接形式注明出处 网址:http://www.webxiaoz.cn/article/bug/696.htm

上一篇:续深喉咙Asp企业网站管理系统v2.66版本漏洞以后对v3.2版本的一些漏洞分析
下一篇:企业级Web安全渗透测试之SSL
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站