南京擎天政务系统 /webpages/powercodelist.aspx POST型sql注入
漏洞发生在:/webpages/powercodelist.aspx POST参数key存在sql注延时注入: 先看一下 http://xxx//webpages/application.aspx 可以看到很多事项申请的链接: 随便点一个进去,都存在sql注入,此处拿其中一个例子做测试: 关键字搜索的地方输入:ssssssssssss 看到没有查到任何数据: 然后输入 ssssssssssss' or '%'=' 可以看到有数据返回: 证明存在bool型的注入...