大汉jget、source尚存在SQL注入漏洞下载

大汉jget、source尚存在SQL注入漏洞这两个测试的版本应该已经升级到U2了。应该再修复得细一点……厂商可以自己结合' or '%'=' 之类的来测试。很简单，如果全部用户回显出来了，那就是有注入了。

http://www.gansu.gov.cn/source/objectbox/selectx_userlist.jsp?fn_Keywords=test&perm=&cPage=1&tiao=

http://www.gansu.gov.cn/jget/objectbox/selectx_userlist.jsp?fn_Keywords=wanghui&perm=&cPage=1&tiao=

 

修复方案：

稍微再修复一下，真是要过滤的