• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    新浪用户管理系统SQL注入

    时间:2015/5/19 18:25:26 作者:平凡之路 来源:xuhantao.com 浏览:

    缘起与一枚XSS.

     

    发现新浪的一个意见反馈系统.准备用XSS盲打下后台.

    提交XSS语句时发现报错,如下图:

    涛涛电脑知识维护 涛涛电脑知识技巧

     

    数据库错误..嘿嘿..怪不得我了…

    发现这里提交到的地址是

    访问这个地址时会跳转到

    标题很鲜艳!


     

    新浪用户管理系统…

    而且根据之前新浪被爆注入也是iask.sina.com.cn这个站点,

    可以判断这里应该是新浪的主库了.做了下注入的测试.

    发现提交的参数中f_email这个参数是可以产生注入的.

     

    得到数据库版本

    MySQL 5.0.11

     

    不敢进一步测试了.

     

     

    最近被警告了太多次了.要不然真想试试改了周鸿祎的新浪微搏玩玩.

     

    数据库版本

    MySQL 5.0.11

    修复方案:

    荒废好久的东西了吧?该撤掉就撤掉吧.

  • 上一篇:mvc3.0防止跨站点请求伪造(CSRF)攻击
  • 下一篇:挖金网无限刷金币
    • 共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1