ILASIII图书管理系统 NTBookRetrSet.aspx 参数Pin SQL注入漏洞

2016-04-21T00:00:00
ID SSV:91355
Type seebug
Reporter kikay
Modified 2016-04-21T00:00:00

Description

0x01漏洞简介

ilasIII数字图书馆系统在NTBookRetrSet.aspx文件处对参数Pin过滤不严格,导致出现SQL注入漏洞。远程攻击者可以结合回显报错的方式,执行SQL指令。

0x02漏洞利用

**.**.**.**/NTBookRetrSet.aspx?Pin=N