###0x01漏洞简介
XYCMS健身会所建站系统采用asp+access架构。其v1.1版本在/jsxm_detail.asp处对参数id 过滤不严,导致出现SQL注入漏洞。
###0x02漏洞详情
该系统默认存在一个管理员数据表admin_user,该表包含管理员名称字段admin和密码 (md5加密)字段password,远程攻击者可以结合union方式获取敏感信息,登陆后台,上传shell。
![](https://images.seebug.org/contribute/631d9467-7ec6-4fb2-8fa0-c5e97a3f5a7a)
###0x03修复方案
过滤。
全部评论 (1)