HanDs
管理员

[7月漏洞公开] 凤凰网某书城app sql注入(DBA权限) 



rt

详细说明:

凤凰书城iOS APP

code 区域
http://appapi.yc.ifeng.com/web/qy_comments.php?a=shuping_index&articleid=3



存在盲注

QQ截图20160526161712.png



注出数据库管理用户

16个数据库

QQ截图20160526162712.png



QQ截图20160526161825.png



数据库信息

QQ截图20160526162601.png



可以拖库,未深入未保存

漏洞证明:

如上

修复方案:

。。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
凤凰网 书城 a pp s ql
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复