ruvar通用企业版OA系统 flow_list.aspx 参数 mt_type SQL注入漏洞

0x01漏洞简介 ruvar通用企业版OA系统在/WebUtility/flowlist.aspx处对参数mttype过滤不严格，导致出现SQL注入漏洞。该漏洞需要利用账号密码进行登陆，然后访问漏洞页面。利用的步骤如下： 1利用账号密码进行登陆，登陆页面是http://xxx.com/include/login.aspx 2登陆成功后，访问http://www.xxx.com/WebUtility/flowlist.aspx进行SQL注入利用 0x02漏洞利用 登陆后： 0x03修复方案 过滤，或者使用参数化SQL语句。...