VULHUB ™

###0x01漏洞简介 福建四创灾害预警系统在DefaultLeftMenu.aspx处的参数MenuId过滤不严格，导致出现SQL注入漏洞。远程攻击者无需登陆，可以利用该漏洞执行SQL指令。 ###0x02漏洞利用 该处漏洞的利用无需登录，但是需要先访问/GuestLogin.aspx页面获取cookie，利用步骤如下： ``` (1)访问http://***.com/GuestLogin.aspx (2)访问漏洞页面http://***.com/DefaultLeftMenu.aspx?MenuId=[payload] ``` 效果如下：  ###0x03修复方案 (1)过滤，或者使用参数化查询语句； (2)完善身份认证

###0x01漏洞简介 福建四创灾害预警系统在DefaultLeftMenu.aspx处的参数MenuId过滤不严格，导致出现SQL注入漏洞。远程攻击者无需登陆，可以利用该漏洞执行SQL指令。 ###0x02漏洞利用 该处漏洞的利用无需登录，但是需要先访问/GuestLogin.aspx页面获取cookie，利用步骤如下： ``` (1)访问http://***.com/GuestLogin.aspx (2)访问漏洞页面http://***.com/DefaultLeftMenu.aspx?MenuId=[payload] ``` 效果如下：  ###0x03修复方案 (1)过滤，或者使用参数化查询语句； (2)完善身份认证