HanDs
管理员

[7月漏洞公开] 中国电信码上商城存在SQL注射漏洞 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

中国电信子站码上商城key.189.cn对关键字过滤不严谨导致SQL注射漏洞导致数据库内容泄露

详细说明:

中国电信码上商城子站发现一个SQL注入漏洞

漏洞页面:http://**.**.**.**/loadproduct.do?author=WT0001&saleman=&UID=

该页面在使用post方式提交对keyword的参数没有做严格过滤导致出现SQL注射漏洞



这个web站点用的非dba,目前没有什么可继续利用的





ps:从页面上看很久没维护了吧?

漏洞证明:

0.png



1.png



2.png



修复方案:

如果没啥用直接把这个站关了得了


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
中国
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复