• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    网上车市门户盲打后台,SQL注入

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

    xss盲打后台,后台存在SQL注入,密码HASH保存于cookies

    详细说明:

    老套路,建议反馈提交

     涛涛电脑知识

    涛涛电脑知识网

    cookies接收

     

    cookies欺骗进入后台,没链接,不能跳转其他页面,存在sql注入

     

    注入太慢,发现密码HASH保存在cookies的_php_auth_pw键中

     

    登陆杀进后台


     

    修复方案:

    过滤xss语句

    httponly

    后台绑定IP或拒绝外网访问

    密码HASH不要保存于cookies中

  • 上一篇:再次拿下学校考勤服务器+官网+安全建议
  • 下一篇:土豆网存储型XSS测试可成功获取用户身份
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1