VULHUB ™

###0x01漏洞简介 ruvar通用企业版OA系统在/WebUtility/flow_list.aspx处对参数mt_type过滤不严格，导致出现SQL注入漏洞。该漏洞需要利用账号密码进行登陆，然后访问漏洞页面。利用的步骤如下： (1)利用账号密码进行登陆，登陆页面是http://xxx.com/include/login.aspx (2)登陆成功后，访问http://www.xxx.com/WebUtility/flow_list.aspx进行SQL注入利用 ###0x02漏洞利用 登陆后：   ###0x03修复方案 过滤，或者使用参数化SQL语句。

###0x01漏洞简介 ruvar通用企业版OA系统在/WebUtility/flow_list.aspx处对参数mt_type过滤不严格，导致出现SQL注入漏洞。该漏洞需要利用账号密码进行登陆，然后访问漏洞页面。利用的步骤如下： (1)利用账号密码进行登陆，登陆页面是http://xxx.com/include/login.aspx (2)登陆成功后，访问http://www.xxx.com/WebUtility/flow_list.aspx进行SQL注入利用 ###0x02漏洞利用 登陆后：   ###0x03修复方案 过滤，或者使用参数化SQL语句。