网站地图    收藏   

主页 > 后端 > 网站安全 >

众乐活动平台建站系统sql注射及修复 - 网站安全

来源:自学PHP网    时间:2015-04-17 13:02 作者: 阅读:

[导读] 众乐活动平台建站系统存在mysql injection 严重漏洞,建设的系统包括蒙牛酸酸乳等等有一定影响力的网站。其中蒙牛酸酸乳数据库中存有大量新浪,人人用户登录的授权token信息详细说明...

众乐活动平台建站系统存在mysql injection 严重漏洞,建设的系统包括蒙牛酸酸乳等等有一定影响力的网站。其中蒙牛酸酸乳数据库中存有大量新浪,人人用户登录的授权token信息
详细说明:开始简单简介我还以为蒙牛酸酸乳http://www.mnssr.com 是自己建设的站点,后台猜测了下后台发现是http://www.zhongle.com/ 众乐活动平台的作品,其中不乏大客户例如蒙牛,伊利等等,而且用户登录投票很多,数据库中记录了用户微博的token等信息,包括新浪人人,开心,爱粉丝等第三方token信息,信息泄露后可以发布信息,有极大的安全隐患。

注入点: http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66
 
Target:           http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66
Host IP:          58.83.219.140
Web Server:   Apache/2.2.19 (Unix) DAV/2 PHP/5.3.0
Powered-by: PHP/5.3.0
DB Server:     MySQL >=5
Current DB:   mnssr2012
 
 

 
修复方案:

严格过滤参数
作者 lazypeople

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论