某教育培训机构网站cms#SQL注入#储存型xss – 网站安

时间: 2020-10-11|tag: 43次围观|0 条评论

CMS厂商:

江苏鑫跃科技有限公司 http://www.jsxyidc.com/

 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图

然后下载回来本地测试

发现存在一个 在线报名:
 

http://localhost:58031/online.asp

分别在:

姓名 - 出生日期 - 意愿学习课程 - 通讯地址 处存在xss
 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图1

 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图2

 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图3

可以盲打后台的...

还有处就是留言处:
 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图4

 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图5

 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图6

 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图7

还有就是SQL注入 - -...

文件news.asp common.asp showpxxm.asp showgkk.asp showpxxm.asp showteam.asp showdownload.asp showxyzp.asp 不忍直视 全部存在sql注入

例如链接:
 

http://localhost:58031/common.asp?id=1
http://localhost:58031/news.asp?id=3
http://localhost:58031/shownews.asp?id=66 
http://localhost:58031/showkbxx.asp?id=32 
http://localhost:58031/showgkk.asp?id=4 
http://localhost:58031/showpxxm.asp?id=24
http://localhost:58031/showteam.asp?id=35
http://localhost:58031/showdownload.asp?id=19 
http://localhost:58031/showxyzp.asp?id=35

 

某教育培训机构网站cms#SQL注入#储存型xss – 网站安插图8

 

修复方案:

各种修复
    上一篇: wemall微信开源PHP商城系统xml实体注入 - 网站安全

    下一篇: 某通用型电子采购平台存在任意文件上传漏洞G
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《某教育培训机构网站cms#SQL注入#储存型xss – 网站安
   

还没有人抢沙发呢~