东软某校园信息门户存在SQL注入轻而易举获得各类账号
信息门户sql注入,与信息门户对接的短信平台,全校新闻网全部成功入侵,危害广泛
由于外网访问作限制,可以参照我之前进入内网的方法,进入内网,登录门户,http://portal.****.edu.cn/eapdomain/static/component/cms/cmp_cms_pim_show/showInfoDetail.jsp?infoId=8387&config_id=6144选取随便一个新闻页面
然后sql注入一下,爆库
修复方案:
加强sql注入监管,适当减少各系统对平台的依赖程度