###0x01漏洞简介
NITC营销系统在index.php对参数language_id过滤不严格,导致出现SQL注入漏洞。远程攻击者可以结合回显报错等方式执行SQL指令,获取敏感信息。
###0x02漏洞证明
SQL注入漏洞位置:
```
/index.php?language_id=1&is_protect=1&action=test language_id注入
```
![](https://images.seebug.org/contribute/3840be13-ca38-4e99-89c4-84d0bfa26adc)
![](https://images.seebug.org/contribute/581c1c64-759f-4290-aa44-6836e8dcfce9)
###0x03修复方案
过滤。
暂无评论