360shop淘店通SQL注入之一 - 网站安全 - 自学php-自学php网

子栏目

主页 > 入门引导 > 黑客攻防 >

360shop淘店通SQL注入之一 - 网站安全 - 自学php

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] 360shop 最新版，淘店通2代，在添加收货地址时，选择省份和城市处存在SQL注入。测试站点为官方最新版演示站：http: zhangheng v2 taodiantong cn测试了官方案例，老版也存在同样注入。第一步...

360shop 最新版，淘店通2代，在添加收货地址时，选择省份和城市处存在SQL注入。

测试站点为官方最新版演示站：

http://zhangheng.v2.taodiantong.cn

测试了官方案例，老版也存在同样注入。

第一步，我们注册一个用户，添加收货地址：

第二步，在地区处，选择省份时，抓包：

在如图参数处存在注入，从图中看出明显存在sql注入。

由于官方演示站是mysql4的环境，报错注入都无法进行了。只能进行猜解。。。

xajaxargs[]=2 rlike if(2=1,2,0x28)，这里是错误的语句，返回mysql错误信息。

输入xajaxargs[]=2 rlike if(2=2,2,0x28)，正确的语句，返回正常：

修复方案：

过滤

瑞和科源智能出卷系统v6.0任意重置密码 - 网站安

360shop淘店通越权操作可获取其他用户敏感信息

最新评论

加载更多~~

添加评论

更多文章推荐

如何从网站开发角度提高php安全漏洞的防范 - 网 2015-04-15
kangle web server目录遍历可getshell - 网站安全 - 自学 2015-04-15
QQ公益未做认证导致CSRF蠕虫 - 网站安全 - 自学p 2015-04-15
cmseasy sql注入漏洞（无视防御） - 网站安全 - 自学 2015-04-15
网站实现https访问能有效防范流量劫持 - 网站安全 - 自学php网 2015-04-15
DedeCMS-V5.7-UTF8-SP1 变反射为持久xss - 网站安全 - 自 2015-04-15
绕过安全狗继续union注入 - 网站安全 - 自学php 2015-04-15
qibocms V7 整站系统最新版SQL注入一枚和另外一处能 2015-04-15
trs某商业系统多个安全漏洞 - 网站安全 - 自学p 2015-04-15
xss实例-什么都没过滤的情况 - 网站安全 - 自学 2015-04-15

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论