Timber E-learning 天柏在线考试系统 Exam_List.aspx 参数typeid SQL注入漏洞

0x01漏洞简介 Timber E-learning 天柏在线考试系统在/Web/ExamList.aspx由于对参数typeid过滤不严，导致出现SQL注入漏洞。远程攻击者可以结合错误回显的方式执行SQL指令，获取敏感信息。 0x02漏洞利用 以下面为例子： http:///Web/ExamList.aspx?typeid=141 and dbname0 0x03修复方案 过滤，或使用参数化的SQL语句。...