妈妈网某管理后台SQL注入漏洞+越权访问 - 网站安-自学php网

主页 > 后端 > 网站安全 >

妈妈网某管理后台SQL注入漏洞+越权访问 - 网站安

来源：自学PHP网时间：2015-04-16 23:15 作者：阅读:次

[导读] 先说注射：注射点：http: try mama cn admin user_info php?bbirth=1上面注入点是通过google找的，不知怎么点到的。还有下面的参数也有注入的：一起说了 province与username。上图：密码有加盐，我就...

先说注射：

注射点：

http://try.mama.cn/admin/user_info.php?bbirth=1

上面注入点是通过google找的，不知怎么点到的。

还有下面的参数也有注入的：一起说了.

province与username。

密码有加盐，我就不破解登录了。

再说越权访问

http://try.mama.cn/admin/user_info.php 这个看样子就是用户信息了。不多说直接就能访问，admin都没验证模块权限哦。

97613条记录，真实姓名+邮箱毫无保留。。

修复方案：

过滤，验证模块权限。

AnyMacro Mail安宁邮件系统之SQL注射+代码执行(含修

一个隐藏性很强的免杀pHp一句话 - 网站安全 - 自

最新评论

加载更多~~

添加评论

更多文章推荐

syWebEditor上传漏洞的又一利用方法及修复 - 网站安 2015-04-17
逐浪CMS某处编码SQL注入漏洞 - 网站安全 - 自学p 2015-04-16
由linkedin数据库泄漏引发的思考 - 网站安全 - 自 2015-04-17
多媒体音箱常见故障的排除 - Windows操作系统 - 自 2015-04-17
phpMyRecipes 1.2.2 (viewrecipe.php, r_id param) SQL注射 - 网 2015-04-17
Windows Server 2008搭建终端服务器 - Windows操作系统 2015-04-17
LimeSurvey 1.92+ build120620多重缺陷及修复 - 网站安全 2015-04-17
新浪微博某处CSRF漏洞 - 网站安全 - 自学php 2015-04-17
躺在床上读代码之phpdick SQL注射 - 网站安全 - 自学 2015-04-17
创业团队如何保护自己的网站安全? - 网站安全 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论