至顶网多处SQL注入下载

至顶网多处SQL注入

google关键字:site:.zdnet.com.cn inurl:subclass -site:server.zdnet.com.cn

利用-来排除重复的,然后一个个试

 

1.http://security.zdnet.com.cn/files/search.php?date=201405&subclass=707
2.http://stor-age.zdnet.com.cn/files/search.php?date=201405&subclass=728
3.http://mobile.zdnet.com.cn/files/search.php?date=201305&subclass=979
4.http://net.zdnet.com.cn/files/search.php?date=201405&subclass=679
5.http://ec.zdnet.com.cn/files/searchs.php?date=&subclass=
6.http://video.zdnet.com.cn/files/search.php?subclass=0&t=0
7.http://server.zdnet.com.cn/files/search.php?subclass=0&t=0
8.http://download.zdnet.com.cn/files/search.php?subclass=0&t=0&p=5&sort=&brief=&manu_name=&key=&category=&os=&publish_date=&licence=&hit=&size=
9.http://download.zdnet.com.cn/files/search.php?subclass=0&t=0&p=5&sort=&brief=&manu_name=&key=&category=&os=&publish_date=&licence=&hit=&size=
10.http://soft.zdnet.com.cn/files/search.php?date=200710&subclass=0&p=2



直接放到sqlmap跑就是了,发现1、2、3是可以直接注入的(ec.zdnet.com.cn和server.zdnet.com.cn已经被提交过,就不测试了,其它的未深入测试)

1.security.zdnet.com.cn

2.stro-age.zdnet.com

3.mobile.zdnet.com

 

修复方案:

1.千万要举一反三,别指哪补哪儿

2.过滤吧

当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细