网站地图    收藏   

主页 > 入门引导 > 黑客攻防 >

某教育培训机构网站cms#SQL注入#储存型xss - 网站安

来源:自学PHP网    时间:2015-04-15 15:00 作者: 阅读:

[导读] CMS厂商:江苏鑫跃科技有限公司 http: www jsxyidc com 然后下载回来本地测试发现存在一个 在线报名:http: localhost:58031 online asp分别在:姓名 - 出生日期 - 意愿学习课程 - 通讯地址 处存在x...

CMS厂商:

江苏鑫跃科技有限公司 http://www.jsxyidc.com/

 

1.jpg





然后下载回来本地测试



发现存在一个 在线报名:
 

http://localhost:58031/online.asp


分别在:

姓名 - 出生日期 - 意愿学习课程 - 通讯地址 处存在xss
 

2.jpg

 

3.jpg

 

4.jpg





可以盲打后台的...



还有处就是留言处:
 

1.jpg

 

2.jpg

 

3.jpg

 

4.jpg







还有就是SQL注入 - -...

文件news.asp common.asp showpxxm.asp showgkk.asp showpxxm.asp showteam.asp showdownload.asp showxyzp.asp 不忍直视 全部存在sql注入



例如链接:
 

http://localhost:58031/common.asp?id=1
http://localhost:58031/news.asp?id=3
http://localhost:58031/shownews.asp?id=66 
http://localhost:58031/showkbxx.asp?id=32 
http://localhost:58031/showgkk.asp?id=4 
http://localhost:58031/showpxxm.asp?id=24
http://localhost:58031/showteam.asp?id=35
http://localhost:58031/showdownload.asp?id=19 
http://localhost:58031/showxyzp.asp?id=35






 

1.jpg


 

修复方案:

各种修复

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论