###0x01漏洞简介
ruvar OA系统在以下3处存在SQL注入漏洞:
```
(1)WebUtility/SearchCondiction.aspx
(2)WebUtility/get_find_condiction.aspx
(3)include/get_dict.aspx
```
###0x02漏洞验证
NO.1:加单引号 ' 直接报错:


NO.2:PageID 参数存在注入

NO.3:bt_id 参数存在注入

###0x03修复方案
过滤,或者使用参数化的SQL语句。
暂无评论