发现新浪的一个意见反馈系统.准备用XSS盲打下后台.
提交XSS语句时发现报错,如下图:
数据库错误..嘿嘿..怪不得我了…
发现这里提交到的地址是
访问这个地址时会跳转到
标题很鲜艳!
新浪用户管理系统…
而且根据之前新浪被爆注入也是iask.sina.com.cn这个站点,
可以判断这里应该是新浪的主库了.做了下注入的测试.
发现提交的参数中f_email这个参数是可以产生注入的.
得到数据库版本
MySQL 5.0.11
不敢进一步测试了.
最近被警告了太多次了.要不然真想试试改了周鸿祎的新浪微搏玩玩.
数据库版本
MySQL 5.0.11
修复方案:
荒废好久的东西了吧?该撤掉就撤掉吧.