查看: 1914|回复: 25

Oracle Applications自带组件SQL注入

[复制链接]
发表于 2013-1-27 09:53:00 | 显示全部楼层 |阅读模式

Oracle Applications 11i 一个自带组件sql注入


注入位置:fnd_help.search
参数:appname
提交方式:post
测试用提交:appname=1%27%20or%2024%20%3d%20%2723&find_string=1&langpath=US&row_limit=25

WVS扫出来的,我真心不觉得oracle会犯这么低级的错误,姑且提交一下看看厂家怎么说

内部系统恕我打码了

​

​


true的时候应该是尝试打开找到的文档,但是404了

​

false的时候是提示找不到文档
修复方案:
厂家知道

发表于 2013-2-7 16:21:57 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-10-20 03:47:10 | 显示全部楼层
(*^__^*) 嘻嘻……   
发表于 2014-10-27 00:04:36 | 显示全部楼层
楼上的稍等啦  
发表于 2014-11-6 10:31:46 | 显示全部楼层
我有家的感觉~~你知道吗  
发表于 2014-11-18 20:53:45 | 显示全部楼层
我的啦嘿嘿  
发表于 2014-12-6 15:30:01 | 显示全部楼层
嘿嘿......哈哈......呵呵.....哟~呼  
发表于 2014-12-29 19:32:54 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2015-1-29 16:47:22 | 显示全部楼层
天啊.  
发表于 2015-3-3 22:42:05 | 显示全部楼层
一个人最大的破产是绝望,最大的资产是希望。  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则