设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 安全中心 > 最新漏洞 > 正文

爱丽网子域名站SQL注射登录后台

时间:2013-06-03 19:24 来源:未知 作者:www.secye.com 阅读:

爱丽网子域名站SQL注射可登录后台

详细说明:主要是看到了:我是如何登录爱丽网后台的(非JS绕过、非盲打、非IP欺骗)!

进后台方法用Fiddler改返回数据包进入:

 

 

后进行测试,突发想到检测后台注入试试,然后得到后台存在注射漏洞

后台中302定向后继续显示内容的漏洞未补,造成别人可以进后台看数据

 

 

将注入点:

http://wed.27.cn/marry/marryadmin/web/store.php?method=getstoredetail&id=269

丢到胡萝卜中去,得到如下结果:

 

 

cmd5下可以破出来,但是貌似有乱码了

 

 

修复方案:

 

后台302跳转修补,过滤注射!!

 

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%