### 简要描述:
某电子采购系统通用SQL注入漏洞,影响众多企业
### 详细说明:
软件厂商:北京网达信联科技发展有限公司
系统名称:电子采购平台
漏洞文件:epro/ebid/viewInvite.asp
由于inviteid参数过滤不严格,导致注入存在
### 漏洞证明:
部分案例:
彩虹集团:http://caigou.irico.com.cn/Rat/ebid/viewInvite.asp?inviteid=0000024185
中国南车:http://zhaobiao.cdjcc.com/epro/ebid/viewInvite.asp?inviteid=0000002597
西安铁路局电子采购系统:http://210.74.129.34:8000/epro/ebid/viewInvite.asp?inviteid=0000002789
孚日集团电子采购平台:http://tender.sunvim.com:8081/Rat/EBid/viewInvite.aspx?inviteid=0000005144
兰格钢铁:http://trademb.lgmi.com/EPro/EBid/viewInvite.aspx?inviteid=
云海金属电子:http://ebid.rsm.com.cn:88/EPro/EBid/viewInvite.aspx?inviteid=
铭泰投资:http://zhaobiao.mitime.com.cn/EPro/EBid/viewInvite.aspx?inviteid=
天狮电子采购平台:http://www.biztiens.com/EPro/EBid/viewInvite.aspx?inviteid=0000000834
等等
如:彩虹集团:http://caigou.irico.com.cn/Rat/ebid/viewInvite.asp?inviteid=0000024185
[<img src="https://images.seebug.org/upload/201503/0319525667817f9f38e0a799dee6666bf19a369b.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/0319525667817f9f38e0a799dee6666bf19a369b.png)
当前数据库:
[<img src="https://images.seebug.org/upload/201503/03195336d3bceb15582d59549fcdd0d546f117b9.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/03195336d3bceb15582d59549fcdd0d546f117b9.png)
其他如上!
京公网安备 11010502034610号
暂无评论