这次可别告诉我又有人提交。审核哥哥,能不要待认领么?这都rank都没了还是由cncert上报个厂商吧。
厂商:
Google收录:
SQL注入点:
非常明显的Oracle报错注入:
【免责声明:为证明漏洞和复现漏洞的危害性,以互联网实例作为安全测试参考。以下为漏洞报告非利用方式,仅供证明漏洞未获取任何有效数据,案例仅供国家互联网应急中心测试复现并上报厂商,其它人不可利用漏洞进行恶意破坏,否则后果自负,漏洞在厂商确认后均做打码处理,感谢您的支持与理解!】
枚举一些案例,单引号就可以报错。
GetPassword.aspx
GetPassword.aspx
GetPassword.aspx
GetPassword.aspx
GetPassword.aspx
GetPassword.aspx
GetPassword.aspx
我就随机挑3个来测试一下,以后再也不测5个了,累死了~
案例测试证明1:
/GetPassword.aspx
抓个数据包:
案例测试证明2:
/GetPassword.aspx
GetPassword.aspx