中国邮政航空公司某处存在SQL注入漏洞
中国邮政航空公司-综合信息查询系统
漏洞存在于:
http://work.cnpostair.com/Items/Ver_Detail.aspx?ID=100220/FM9521
ID 参数未过滤,导致注入产生
SQLMAP 跑下:
current schema (equivalent to database on Oracle): 'CPAFOC'
500多表
这应该是管理表吧、 就不去查询深入了
SYS_USER
T7001_OWNER_USER
修复方案:
过滤