漏洞描述:
该系统的 RESTFulServiceForWeb 接口中存在一个SQL注入漏洞。对 BGM 预拌混凝土管理系统 RESTFulWebService 接口开展 SQL 注入测试,传入带单引号闭合、报错注入特征的恶意 PostId 参数,服务返回数据库转换异常并执行恶意 SQL 逻辑,证实存在 SQL 注入高危漏洞;同时接口异常响应完整输出开发服务器源码物理路径、系统底层类结构、数据库账号 bs_user、IIS/.NET 版本等敏感堆栈信息,造成架构信息泄露。攻击者可利用注入漏洞窃取、篡改全套搅拌站经营财务数据。