HanDs
NO.2

[7月漏洞公开] 宜信某站存在SQL注入漏洞 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

佳佳佳佳佳 有男朋友没?

详细说明:

宜信研究院

http://www.ceresearch.cn

随便挑个参数就是注入,都说了不要依赖 waf ,从源代码杜绝这种漏洞。

1.png



2.png



code 区域
information_schema
mysql
performance_schema
yixin



code 区域
tp_article
tp_scrollimgage
tp_user
tp_viewtext



code 区域
admin:1a2d3m4i5nx



5.png

漏洞证明:

如上

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组