欢迎来到福编程网,本站提供各种互联网专业知识!

绿盟视频会议系统SQL注入

发布时间:2013-05-31 作者:佚名 来源:红黑联盟 
通过注入能够拿到管理账户密码,然后登录后台查看会议密码,通过会议密码能够进入到远程会议中,恶意攻击者能够窃取某些敏感信息。http://211.151.49.196:18080/V2Conf/jsp/user/loginAction.do其实是V2Conference视频会议系统较低版本的SQL注入,注入发生在

通过注入能够拿到管理账户密码,然后登录后台查看会议密码,通过会议密码能够进入到远程会议中,恶意攻击者能够窃取某些敏感信息。

http://211.151.49.196:18080/V2Conf/jsp/user/loginAction.do

其实是V2 Conference视频会议系统较低版本的SQL注入,注入发生在登录时用户名的输入框内,使用以下注入语句可测试:

1' or (select benchmark(300000,md5(user())) from users where substring(username,1,5)='admin')#

绿盟视频会议系统SQL注入 全福编程网

修复方案:

升级补丁

相关推荐