某通用型政府电子采购系统多处SQL注入某通用型政府电子采购系统,存在多处SQL注入,可获得多个数据库。
此电子采购系统是一套通用型的系统。
有多个平台,包括,企业,政府,高效,金融等各行各业平台。
这里仅测试了政府电子采购系统。
此电子采购系统平台官网:
http://www.xinyuan.com.cn/案例:
我们那河南政府采购网为例:
http://www.hngp.gov.cn
上述案例中的政府采购网的框架同河南政府采购网一致。
第一处注入点:http://www.hngp.gov.cn/xygh/cx/xyindexserch.html?webappcode=H60&keyword=123
参数webappcode和keyword都存在注入。
这里的数据库是oracle的。
报错。
正常。
放到Sqlmap跑一下:
数据库:
这些数据库的每一个库里面的表都很多,数据量很大。
跑了一上午一个库的表还没有跑完,这里列出数据库“HNCG”中的一部分表:
第二处注入点:http://www.hngp.gov.cn/xygh/egp/jd/dljg/dljgxx/ListDljg,$DirectLink.direct?sp=S1&sp=S00390019
剩下的databases和tables就不在依依列举了。
还有其他注入点。
修复方法:过滤吧