傲游云浏览器APP某处SQL注射下载
-
来源:黑吧安全网 浏览:863次 时间:2014-05-27
傲游云浏览器APP某处SQL注入漏洞
我们从豌豆荚应用商店下载并安装"傲游云浏览器"。运行APP后抓包可发现浏览器对如下地址发起了一次http请求:
http://mad.m.maxthon.cn/promotion/query.php?source_type=phone&channelid=610024630100&version_code=2866&country=CN&language=zh&dvc_id=5284047f4ffb4e04824a2fd1d1f0cd6275f80000&uid=&vname=4.1.8.2000
其中,channelid参数存在SQL注射。
我才疏学浅只会用sqlmap自动化测试,似乎这里读不出columns?
下一篇: [公开漏洞]万达分站可以getshell