HanDs
NO.2

[7月漏洞公开] 凤凰网某书城app sql注入(DBA权限) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

rt

详细说明:

凤凰书城iOS APP

code 区域
http://appapi.yc.ifeng.com/web/qy_comments.php?a=shuping_index&articleid=3



存在盲注

QQ截图20160526161712.png



注出数据库管理用户

16个数据库

QQ截图20160526162712.png



QQ截图20160526161825.png



数据库信息

QQ截图20160526162601.png



可以拖库,未深入未保存

漏洞证明:

如上

修复方案:

。。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
凤凰网 书城 a pp s ql
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组