zwkjgs - 2019/2/16 14:27:06
4.1. Web应用程序错误信息
表 1.
URL 方法 参数 Payload 风险
http://www.suiyangqu.gov.cn/e/search/search.aspx POST modelid title=%25E8%25BE%2593%25E5%2585%25A5%25E6%2590%259C%25E7%25B4%25A2%25E5%2585%25B3%25E9%2594%25AE%25E8%25AF%258D&siteid=1&modelid=4999999999999999999999 中危
表 2.
类型 描述
漏洞影响: 暂无
漏洞概述: 暂无
建议解决方案: 暂无
参考链接: http://www.php.net/manual/en/errorfunc.configuration.php#ini.display-errors
漏洞分类: CWE-209 WASC-13 OWASP-2013A5 OWASP-2017A6
4.2. SQL注入漏洞
表 3.
URL 方法 参数 Payload 风险
http://www.suiyangqu.gov.cn/e/search/search.aspx POST modelid title=%25E8%25BE%2593%25E5%2585%25A5%25E6%2590%259C%25E7%25B4%25A2%25E5%2585%25B3%25E9%2594%25AE%25E8%25AF%258D&siteid=1&modelid=4999999999999999999999 高危
表 4.
类型 描述
漏洞影响: 暂无
漏洞概述: 暂无
建议解决方案: 暂无
参考链接: http://sebug.net/category/Sql%E6%B3%A8%E5%85%A5 http://www.owasp.org/index.php/Injection_Flaws http://www.securiteam.com/securityreviews/5DP0N1P76E.html
漏洞分类: CWE-89 WASC-19 OWASP-2013A1 OWASP-2017A1
4.3. 跨站脚本攻击
表 5.
URL 方法 参数 Payload 风险
http://www.suiyangqu.gov.cn/index.aspx GET id sublanmuid=597&id="/><iframe/src=//www.163.com//>&lanmuid=50 高危
xiyou - 2019/2/16 14:46:37
你这个是3.0的问题,实际也不叫漏洞,因为搜索是需要构造关键词的,但是一些安全软件认为这样会有问题,实际这种构造是很正常的,例如百度的地址一样可以构造
https://www.baidu.com/?title=25E ... 99999999999999999994.0不会检测漏洞,因为4.0的栏目地址已经不采用url参数这种格式,所以安全软件不会检测出这些问题。
zwkjgs - 2019/3/5 12:43:28
4.3. 跨站脚本攻击
表 5.
URL 方法 参数 Payload 风险
http://www.suiyangqu.gov.cn/index.aspx GET id sublanmuid=597&id="/><iframe/src=//www.163.com//>&lanmuid=50 高危
版主有解决办法吗,不升级有没有解决办法,比如更改search.aspx ,如果升级4.0能平滑升级不,我看到现在还有好多bug,还不成熟
zwkjgs - 2019/6/18 11:44:16
麻烦管理员把此贴删除吧,有敏感信息谢谢