Car2Share存在SQL注入漏洞
测试注册处是否有漏洞,结果注册上了,也就有了下面的测试。本来很少注册后测试的!~~~
本来想测试注册处是不是存在注入,结果没有发现,注册上了,然后到了预约培训处,抓包
http://car2sharew.daihing.com/user_api/book_try_drive
(POST)
site_id=ff80808148bf1ed80148bf9743f60000&dateTime=2015-5-22 23:30:00
site_id存在注入就不多说了,看图吧!~~~
可以获取几百万的信息,以及几千的用户,包括腾讯的,dump一些只为证明
过滤