注册页面存在注射:http://office2.inspur.com/svqd/jsp/svqd/zhuce/zhuce.jsp
如图:
登录地址:http://office2.inspur.com/svqd/
注册账户登陆后:
同样存在注射,测试为sa权限。
跨库查询可以得到 数据库 所有数据,可能上面存在其他系统账号进一步 渗透 企业服务器群。
大概整个段都是浪潮集团的各种站。
上张图大家都懂的。
修复方案:
系统 用的JS框架,AJAX提交的数据,服务器端验证客户端提交的JSON字符串。
查看更多关于浪潮集团渠道管理系统注射 - 网站安全 - 自学p的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13489