频道栏目
首页 > 安全 > 网站安全 > 正文

新浪用户管理系统SQL注入

2012-12-18 11:33:07            作者:过客
收藏   我要投稿
缘起与一枚XSS.

 

发现新浪的一个意见反馈系统.准备用XSS盲打下后台.

提交XSS语句时发现报错,如下图:

 

数据库错误..嘿嘿..怪不得我了...

发现这里提交到的地址是

http://feedback.sina.com.cn

访问这个地址时会跳转到

http://netlogin.sina.com.cn/

标题很鲜艳!


 

新浪用户管理系统...

而且根据之前新浪被爆注入也是iask.sina.com.cn这个站点,

可以判断这里应该是新浪的主库了.做了下注入的测试.

发现提交的参数中f_email这个参数是可以产生注入的.

 

得到数据库版本

MySQL 5.0.11

 

不敢进一步测试了.

 

 

最近被警告了太多次了.要不然真想试试改了周鸿祎的新浪微搏玩玩.

 

数据库版本

MySQL 5.0.11

修复方案:

荒废好久的东西了吧?该撤掉就撤掉吧.

上一篇:万达电影网站的任意帐号密码重置漏洞及修复
下一篇:挖金网无限刷金币
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站