当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05540

漏洞标题:华成研发管理咨询[SQL 射点]

相关厂商:华成研发管理咨询

漏洞作者: byr5ec

提交时间:2012-03-26 10:15

修复时间:2012-05-10 10:16

公开时间:2012-05-10 10:16

漏洞类型:

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-03-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

虽然采取了WEB漏洞防护,但通过手工构造,仍然可以正常手工注入。

详细说明:

公司组织了一次关于研发培训,讲师在做自我介绍的时候,给出了他们公司的URL,说以后有什么需要可以去这个网站上找。唉,看到URL就想XX一下,随便点了几下,发现一射点。

http://huacheng.cnrdm.com/Public/Brief-IntroDuction-Show.asp?CourseId=25

漏洞证明:


修复方案:

SQL注入嘛,就不多说了吧,修改代码去吧。
在这里提一下,不要太过相信免费的WEB安全防护软件,不太靠谱!
顺便再说一下“safedog”,你的规则有点太差了吧,好好完善下吧。

版权声明:转载请注明来源 byr5ec@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2012-05-10 10:20 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    为啥a%nd也可以过的?

  2. 2012-05-10 10:53 | 赵小布 ( 普通白帽子 | Rank:102 漏洞数:10 | Hello World!)

    mark