大汉版通jvideo系统SQL注入可获取系统用户帐号密码等。

0x1

还是webservice的问题，情况类似 大汉版通JIS统一身份认证系统SQL注射漏洞 .不得不说，根据我的经验，国内基于j2ee的web应用系统带webservice的一半以上都得在这出问题，而且都是简单粗暴型的，题外话:)

Jvideo的webservice是这样的：(部分版本中没有FileReceiverServer和FileTransaction服务）

部分操作存在 SQL注入漏洞，未及一一测试 ，以livingVideoInfos下的getVideoInfo为例

0x2 

Jvideo提供了大量WebService操作，这些基本操作基本上没有经过权限验证，这为系统带来极大安全问题，除了上述的SQL注射外，FileReceiverServer和FileTransaction中很多操作都存在安全隐患，如createDirectory、deleteDir可创建、删除文件夹。

修复方案：

为WebService所有操作添加防SQL注入处理，并为特殊操作添加权限验证。