用友软件某分站存在SQL注入漏洞盲注
存在注入的站点:http://salon.yonyou.com
注入地址:
http://salon.yonyou.com/AppWeb/FuWuCP/FuWuCP_list.aspx?BianHao=AUTON060628000002
注入参数:BianHao
http://salon.yonyou.com/AppWeb/FuWuCP/FuWuCP_list.aspx?BianHao=AUTON060628000002%20and%201=1
http://salon.yonyou.com/AppWeb/FuWuCP/FuWuCP_list.aspx?BianHao=AUTON060628000002%20and%201=2
返回结果一样。。。
丢sqlmap盲注试试
不深入了,速度比较慢。尽快修补吧。
修复方案:
过滤BianHao参数,应该懂。