中华人民共和国教育部某站SQL注入漏洞下载

来源:黑吧安全网 浏览:620次 时间:2014-06-12
做网站找雨过天晴工作室

中华人民共和国教育部某站SQL注入漏洞原来以为是某大学的,看到数据觉得不是了。

http://202.4.130.200:81/ 高等学校实验室信息统计系统



版权为 版权所有 (C) 2005-2015 中华人民共和国教育部



POST /servlet/com.bluesoft.web.action.ActionServlet?action=com.bluesoft.app.login.LoginAction&method=ajaxValiate&ajax=1 HTTP/1.1

Host: 202.4.130.200:81



&username=admin&pwd=admin&validateCode=0108



username参数存在注入

current schema (equivalent to database on Oracle): 'RMS'

表信息,用户信息
 

查看部分数据证明为教育部的(原来以为是某大学的,看到数据就知道不是了)

修复方案:

参数过滤