妈妈网某管理后台SQL注入漏洞+越权访问下载

先说注射:



注射点:

http://try.mama.cn/admin/user_info.php?bbirth=1



上面注入点是通过google找的,不知怎么点到的。



还有下面的参数也有注入的:一起说了.

province与username。



上图:


密码有加盐,我就不破解登录了。

再说越权访问



http://try.mama.cn/admin/user_info.php 这个看样子就是用户信息了。不多说 直接就能访问,admin都没验证模块权限哦。



97613条记录,真实姓名+邮箱毫无保留。。

修复方案:

过滤,验证模块权限。

上一篇: [公开漏洞]中华人民共和国海关总署后台未授权可访问
下一篇: 驱动人生2014 v6.1.15.82 绿色版下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细