记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

穷游网某处盲注全站用户沦陷

2014-08-02 18:35

NULL

漏洞证明:

问题发生在这里:

http://api.qyer.com/traffic/t2345.php?name=%E5%A4%8F%E5%A8%81%E5%A4%B7&country=%E7%BE%8E%E5%9B%BD



country参数过滤不足!导致盲注!

测试了一下!用户库也是这个~



上图:



20140618171754.jpg



修复方案:

过滤!

不重要的数据库应该跟主库做分离呀!

另外我是冲着礼物来的!嘿嘿~

求礼物!!


知识来源: www.wooyun.org/bugs/wooyun-2014-065398

阅读:72460 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“穷游网某处盲注全站用户沦陷”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词