漏洞发生在:/webpages/powercodelist.aspx
POST参数key存在sql注延时注入:
先看一下 http://xxx//webpages/application.aspx
可以看到很多事项申请的链接:

随便点一个进去,都存在sql注入,此处拿其中一个例子做测试:
关键字搜索的地方输入:ssssssssssss
看到没有查到任何数据:

然后输入 ssssssssssss' or '%'='
可以看到有数据返回:

证明存在bool型的注入
暂无评论