漏洞详情
| CNVD编号 | CNVD-2017-06431 |
|---|---|
| 漏洞标题 | iOffice系统WSLoginMobile.asmx?wsdl参数存在SQL注入漏洞 |
| 严重等级 | 高 |
| 影响产品 | 广州红帆电脑科技有限公司 iOffice |
| 漏洞类型 | 通用软硬件漏洞 |
| 发现时间 | 2017-05-08 |
| 公开时间 | 2017-06-23 |
| 发现者 | 李志强 黄靖杰 丁捷彬 周启明 |
| 解决方案 | [1] 对用户的输入进行严格过滤,包括所有的参数,URL和HTTP头部等所有需要传给数据库的数据。 包括但不限于以下字符及字符串 select and or like regxp from where update exec order by having drop delete ( ) [ ] < > , . ; : ' " # % + - _ = / * @ [2] 预编译SQL语句,而不要动态组装SQL语句,否则必须确保在使用输入的数据组装成SQL语句之前,对特殊字符进行预处理。 [3] 以最小权限执行SQL语句 |
| 漏洞描述 | 红帆iOffice系统是一款基于微软.NET技术研发的,建立以笔记本、手机等便捷终端为载体实现的移动信息化系统。 iOffice系统WSLoginMobile.asmx?wsdl参数存在SQL注入漏洞,该漏洞产生的原因是未能对用户提交的数据进行有效过滤所致,允许攻击者利用漏洞获取数据库敏感信息。 |
返回漏洞库首页
