Nongyou政务系统 hnzc.aspx 参数CountryName SQL注入漏洞

2016-03-19T00:00:00
ID SSV:91099
Type seebug
Reporter kikay
Modified 2016-03-19T00:00:00

Description

0x01漏洞简介

Nongyou政务系统采用的ASPX+MYSQL架构,其在/hnzc.aspx处的参数CountryName注入漏洞,远程攻击者可以结合回显报错的方式执行SQL指令。

0x02漏洞详情

山东农友软件公司开发的农业监管系统存在一处SQL注入

我就只演示1个站了

**.**.**.**:8200/hnzc.aspx?CountryName=%e6%96%87%e7%99%bb%e5%b8%82&level=1

0x03修复方案

过滤。