众乐活动平台建站系统存在mysql injection 严重 漏洞 ,建设的系统包括蒙牛酸酸乳等等有一定影响力的网站。其中蒙牛酸酸乳 数据库 中存有大量新浪,人人用户登录的授权token信息 详细说明:开始简单简介我还以为蒙牛酸酸乳http://www.mnssr.com 是自己建设的站点,后台猜测了下后台发现是http://www.zhongle.com/ 众乐活动平台的作品,其中不乏大客户例如蒙牛,伊利等等,而且用户登录投票很多,数据库中记录了用户微博的token等信息,包括新浪人人,开心,爱粉丝等第三方token信息,信息泄露后可以发布信息,有极大的安全隐患。 注入点: http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66 Target: http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66 Host IP: 58.83.219.140 Web Server: Apache/2.2.19 (Unix) DAV/2 PHP /5.3.0 Powered-by: PHP/5.3.0 DB Server: MySQL >=5 Current DB: mnssr2012 修复方案: 严格过滤参数 作者 lazypeople
查看更多关于众乐活动平台建站系统sql注射及修复 - 网站安全的详细内容...