记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

国内某大型支付机构所属业务站点SQL注入一枚

2014-09-18 04:35

中国银联



点:

http://finance.chinapay.com/insurance/online/web/productList/initProductList.do?ATTRID=ATTR_INDEX_CXAQ



ok SQL 注入



0.jpg





用户:

1.jpg





sql命令:

2.jpg





后台

http://finance.chinapay.com/manage/mis/system/userManage/passport/login/index.jsp



IBM DB2 不熟悉,不深入,点到即止。

漏洞证明:

如上

修复方案:

过滤~


知识来源: www.wooyun.org/bugs/wooyun-2014-070882

阅读:66614 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“国内某大型支付机构所属业务站点SQL注入一枚”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云