起风网|
CMS厂商: 江苏鑫跃科技有限公司 http://www.jsxyidc.com/
然后下载回来本地测试 发现存在一个 在线报名: http://localhost:58031/online.asp 分别在: 姓名 – 出生日期 – 意愿学习课程 – 通讯地址 处存在xss
可以盲打后台的… 还有处就是留言处:
还有就是SQL注入 – -… 文件news.asp common.asp showpxxm.asp showgkk.asp showpxxm.asp showteam.asp showdownload.asp showxyzp.asp 不忍直视 全部存在sql注入 例如链接: http://localhost:58031/common.asp?id=1 http://localhost:58031/news.asp?id=3 http://localhost:58031/shownews.asp?id=66 http://localhost:58031/showkbxx.asp?id=32 http://localhost:58031/showgkk.asp?id=4 http://localhost:58031/showpxxm.asp?id=24 http://localhost:58031/showteam.asp?id=35 http://localhost:58031/showdownload.asp?id=19 http://localhost:58031/showxyzp.asp?id=35
修复方案:各种修复 |
-
上一篇: wemall微信开源PHP商城系统xml实体注入 – 网站安全
下一篇: 某通用型电子采购平台存在任意文件上传漏洞G
评论前必须登录!
立即登录