漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新座标数字化校园系统学校标准版V2.0四处DBA权限SQL注入打包
提交时间:2015-05-11 14:53
修复时间:2015-06-25 14:54
公开时间:2015-06-25 14:54
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:13
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-05-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
详细说明:
这绝对是通用啊,每个页面和url特征很明显一样,没有哪里有定制化!4处与平台没有任何重复的就打包提交了--
官方网站:
Google收录达到 661,000 条结果:

四处SQL注入点:
互联网自动采集案例:
第一处注入案例:
第二处注入案例:
第三处注入案例:
第四处注入案例:
漏洞证明:
四处注入证明;点到为止不获取任何敏感数据:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应