Oracle Applications自带组件SQL注入

admin · 发表于 2013-1-27 09:53:00

Oracle Applications 11i 一个自带组件sql注入

注入位置：fnd_help.search
参数：appname
提交方式：post
测试用提交：appname=1%27%20or%2024%20%3d%20%2723&find_string=1&langpath=US&row_limit=25

WVS扫出来的，我真心不觉得oracle会犯这么低级的错误，姑且提交一下看看厂家怎么说

内部系统恕我打码了

true的时候应该是尝试打开找到的文档，但是404了



false的时候是提示找不到文档
修复方案：
厂家知道

zftvk · 发表于 2013-2-7 16:21:57

提示: 作者被禁止或删除内容自动屏蔽

不知道 · 发表于 2014-10-20 03:47:10

(*^__^*) 嘻嘻……

安颐阿雅 · 发表于 2014-10-27 00:04:36

楼上的稍等啦

野狼 · 发表于 2014-11-6 10:31:46

我有家的感觉~~你知道吗

小苹果花季 · 发表于 2014-11-18 20:53:45

我的啦嘿嘿

申程炜 · 发表于 2014-12-6 15:30:01

嘿嘿......哈哈......呵呵.....哟~呼

品雅真空泵 · 发表于 2014-12-29 19:32:54

提示: 作者被禁止或删除内容自动屏蔽

▇▇▇▇▇ · 发表于 2015-1-29 16:47:22

天啊.

大魔王 · 发表于 2015-3-3 22:42:05

一个人最大的破产是绝望，最大的资产是希望。

zftvk zftvk 当前离线积分 157 窥视卡雷达卡	发表于 2013-2-7 16:21:57 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
zftvk zftvk 当前离线积分 157 窥视卡雷达卡
	回复支持反对使用道具举报显身卡

品雅真空泵品雅真空泵当前离线积分 58 窥视卡雷达卡	发表于 2014-12-29 19:32:54 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
品雅真空泵品雅真空泵当前离线积分 58 窥视卡雷达卡
	回复支持反对使用道具举报显身卡

Oracle Applications自带组件SQL注入

相关帖子