CMS厂商:
江苏鑫跃科技有限公司 http://www.jsxyidc.com/
然后 下载 回来本地测试 发现存在一个 在线报名:
http://localhost:58031/online. asp分别在: 姓名 - 出生日期 - 意愿学习课程 - 通讯地址 处存在xss
可以盲打后台的... 还有处就是留言处:
还有就是SQL注入 - -... 文件news.asp common.asp showpxxm.asp showgkk.asp showpxxm.asp showteam.asp showdownload.asp showxyzp.asp 不忍直视 全部存在sql注入 例如链接:
http://localhost:58031/common.asp?id=1 http://localhost:58031/news.asp?id=3 http://localhost:58031/shownews.asp?id=66 http://localhost:58031/showkbxx.asp?id=32 http://localhost:58031/showgkk.asp?id=4 http://localhost:58031/showpxxm.asp?id=24 http://localhost:58031/showteam.asp?id=35 http://localhost:58031/showdownload.asp?id=19 http://localhost:58031/showxyzp.asp?id=35
修复方案:
各种修复
查看更多关于某教育培训机构网站cms#SQL注入#储存型xss - 网站安的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15126