VULHUB ™

###0x01 漏洞简介 XYCMS企业电子商务商城系统 v2.1在以下2处存在SQL注入漏洞: ``` (1)snotice.asp?id= (2)shelp.asp?id= ``` ###0x02漏洞详情 该系统默认存在一个管理员数据表admin_user，该表包含管理员名称字段admin和密码(md5加密)字段password，远程攻击者可以结合union方式获取敏感信息，登陆后台，上传shell。以第一处的注入为例，如下所示：  ###0x03修复方案 过滤。

###0x01 漏洞简介 XYCMS企业电子商务商城系统 v2.1在以下2处存在SQL注入漏洞: ``` (1)snotice.asp?id= (2)shelp.asp?id= ``` ###0x02漏洞详情 该系统默认存在一个管理员数据表admin_user，该表包含管理员名称字段admin和密码(md5加密)字段password，远程攻击者可以结合union方式获取敏感信息，登陆后台，上传shell。以第一处的注入为例，如下所示：  ###0x03修复方案 过滤。