某通用型政府电子采购系统多处SQL注入下载

某通用型政府电子采购系统多处SQL注入某通用型政府电子采购系统，存在多处SQL注入，可获得多个数据库。

此电子采购系统是一套通用型的系统。

有多个平台，包括，企业，政府，高效，金融等各行各业平台。

这里仅测试了政府电子采购系统。



此电子采购系统平台官网：

 

http://www.xinyuan.com.cn/

案例：

我们那河南政府采购网为例：

http://www.hngp.gov.cn

上述案例中的政府采购网的框架同河南政府采购网一致。



 

第一处注入点：http://www.hngp.gov.cn/xygh/cx/xyindexserch.html?webappcode=H60&keyword=123

参数webappcode和keyword都存在注入。

这里的数据库是oracle的。

报错。

正常。



放到Sqlmap跑一下：

数据库：

这些数据库的每一个库里面的表都很多，数据量很大。

跑了一上午一个库的表还没有跑完，这里列出数据库“HNCG”中的一部分表：

第二处注入点：http://www.hngp.gov.cn/xygh/egp/jd/dljg/dljgxx/ListDljg,$DirectLink.direct?sp=S1&sp=S00390019

剩下的databases和tables就不在依依列举了。



还有其他注入点。

修复方法：过滤吧