来源:自学PHP网 时间:2015-04-17 13:02 作者: 阅读:次
[导读] 众乐活动平台建站系统存在mysql injection 严重漏洞,建设的系统包括蒙牛酸酸乳等等有一定影响力的网站。其中蒙牛酸酸乳数据库中存有大量新浪,人人用户登录的授权token信息详细说明...
众乐活动平台建站系统存在mysql injection 严重漏洞,建设的系统包括蒙牛酸酸乳等等有一定影响力的网站。其中蒙牛酸酸乳数据库中存有大量新浪,人人用户登录的授权token信息
详细说明:开始简单简介我还以为蒙牛酸酸乳http://www.mnssr.com 是自己建设的站点,后台猜测了下后台发现是http://www.zhongle.com/ 众乐活动平台的作品,其中不乏大客户例如蒙牛,伊利等等,而且用户登录投票很多,数据库中记录了用户微博的token等信息,包括新浪人人,开心,爱粉丝等第三方token信息,信息泄露后可以发布信息,有极大的安全隐患。 注入点: http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66 Target: http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66 Host IP: 58.83.219.140 Web Server: Apache/2.2.19 (Unix) DAV/2 PHP/5.3.0 Powered-by: PHP/5.3.0 DB Server: MySQL >=5 Current DB: mnssr2012 修复方案: 严格过滤参数 作者 lazypeople |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com