• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    香港新浪SQL注射及修复

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    由于没有对参数r进行有效的过滤从而导致SQL注入漏洞的产生。
    具体链接:
    ?r=184626
     
     
    在r参数的后面添加12345=12345与12345=54321返回的结果是不一样的哦:
    ?r=184626 12345=12345
     
     




     
    ?r=184626 12345=54321
     
     
     
    除此之外,www.xuhantao.com,还有其他链接也存在SQL注入漏洞如下:
    ?action=view&id=1
     
    ?id=11499
     
    ?t=新版
     
    ?cat=470
     
    等等,涛涛电脑知识网,请sina明察!!!



    可获取当前数据库版本、当前用户等等信息如下:
     
     


    还可获取其他更多信息,爆出数据库等账号的哈希,亲们可以去爆破哦:
    hkgame   7d5a85d7187967a5
    web_ro   043ff4215a4b78f9
    web_rw  043f16695a4c1b41
    修复方案:

    你们都懂的

    作者 风萧萧

  • 上一篇:bbsxp上传过滤不严 可上传asp;jpg 文件
  • 下一篇:58同城多处持久型xss
    • 相关文章
    • 没有相关文章
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1