大汉jget、source尚存在SQL注入漏洞下载

大汉jget、source尚存在SQL注入漏洞这两个测试的版本应该已经升级到U2了。应该再修复得细一点……厂商可以自己结合' or '%'=' 之类的来测试。很简单,如果全部用户回显出来了,那就是有注入了。

http://www.gansu.gov.cn/source/objectbox/selectx_userlist.jsp?fn_Keywords=test&perm=&cPage=1&tiao=

http://www.gansu.gov.cn/jget/objectbox/selectx_userlist.jsp?fn_Keywords=wanghui&perm=&cPage=1&tiao=

 

修复方案:

稍微再修复一下,真是要过滤的

上一篇: [公开漏洞]深澜软件鸡肋漏洞可被getshell
下一篇: TYPO3 后端组件多个XSS漏洞下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细