### 0x01 框架概述
福建四创软件有限公司成立于2001年1月19日,位于福建省福州市海西高新创业大厦9、10楼(广贤路与乌龙江大道交叉口) ,是一家致力于中国防灾减灾事业的技术型企业。目前专注于为政府提供防灾减灾应急指挥系统解决方案,为各级企业提供防灾减灾信息与应用租赁服务,为社会公众提供防灾减灾信息发布与预警服务。
官方主页: http://www.strongsoft.net/DMenu.aspx
谷歌搜索: intitle:预警 系统 技术支持:福建四创
### 0x02 漏洞细节
11注入点:
1、/BaseCourse/RushTeamCollect.aspx?adcd=1&key=1
2、/TownsWeb/PageModule/MessageInfoSender.aspx?msgID=1
3、/TownsWeb/PageModule/MessageInfoList.aspx?MediaID=1
4、/plan/FloodPlan/FloodPlanFileShow.aspx?ReadOnly=&ID=1
5、/SystemManage/AjaxHandle/AjaxVertifyUserID.ashx?uid=1
6、/Disaster/Reporting/ReportingInfo.aspx?oper=update&ID=1
7、/BaseCourse/FloodDisastersQueryContent.aspx?DirTypeDetailId=1&Name=1
8、/WarnMaintence/AJaxHandler/UpdateSortNo.ashx?fnName=1&DeptCd=1&SortNo= SortNo参数存在注入
9、/WarnMaintence/SelectContacts.aspx?fnName=UpdateContact&selectedNodes=1&contactDeptCD= contactDeptCD参数存在注入
10、/Map/AjaxHandler/AjaxMapCustomAction.ashx?action=GetParamVal¶m=&dateForAjax=1 param参数存在注入
11、/Report/AjaxHandle/StationChoose/StationSearch.ashx?stationName=1&stationType=1&StationChooseType=Single&ReportID=Report1 stationName 参数存在注入
### 0x03 修复方案
1、过滤/Disaster/ReportCount.aspx?tabnm参数
2、使用加速乐等防护产品
京公网安备 11010502034610号
暂无评论