金蝶某考试系统严重漏洞礼包

2013-06-17T00:00:00
ID SSV:93776
Type seebug
Reporter Root
Modified 2013-06-17T00:00:00

Description

简要描述:

员工疏忽! 导致各种问题! 以及可对数据库操作!

详细说明:

数据库操作文件没验证用户权限! 导致可对数据库操作!以及遍历目录漏洞! 未深入研究!

漏洞证明:

1.目录遍历漏洞 http://exam.kingdee.com/usermain/

<img src="https://images.seebug.org/upload/201306/171804371611f69d7fd2a713681e324c5c9dafb6.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

2.数据库操作

<img src="https://images.seebug.org/upload/201306/171805067bc83da5af91f073875e81b80bc3f5b0.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">

数据库巨大!会有影响吧~

<img src="https://images.seebug.org/upload/201306/17181902e43a132196ea1e1ee24b6a181dd57ff1.jpg" alt="x.jpg" width="600" onerror="javascript:errimg(this);">