网站地图    收藏   

主页 > 后端 > 网站安全 >

新浪用户管理系统SQL注入 - 网站安全 - 自学php

来源:自学PHP网    时间:2015-04-17 11:59 作者: 阅读:

[导读] 缘起与一枚XSS.发现新浪的一个意见反馈系统.准备用XSS盲打下后台.提交XSS语句时发现报错,如下图:数据库错误..嘿嘿..怪不得我了...发现这里提交到的地址是http://feedback.sina.com.cn访问这个...

缘起与一枚XSS.
 
发现新浪的一个意见反馈系统.准备用XSS盲打下后台.
提交XSS语句时发现报错,如下图:
 
数据库错误..嘿嘿..怪不得我了...
发现这里提交到的地址是
http://feedback.sina.com.cn
访问这个地址时会跳转到
http://netlogin.sina.com.cn/
标题很鲜艳!

 
新浪用户管理系统...
而且根据之前新浪被爆注入也是iask.sina.com.cn这个站点,
可以判断这里应该是新浪的主库了.做了下注入的测试.
发现提交的参数中f_email这个参数是可以产生注入的.
 
得到数据库版本
MySQL 5.0.11
 
不敢进一步测试了.
 
 
最近被警告了太多次了.要不然真想试试改了周鸿祎的新浪微搏玩玩.
 
数据库版本
MySQL 5.0.11
修复方案:
荒废好久的东西了吧?该撤掉就撤掉吧.

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论