新浪某城市联盟分站存在SQL注入漏洞 - 网站安全

SQL注入点：http://spring.sina-qd.com/more.php?class_id=39   获取库名及其他信息： http://spring.sina-qd.com/more.php?class_id=39%20and%201=2%20UNION%20SELECT%201,2,3,CONCAT_WS%28CHAR%2832,58,32%29,user%28%29,database%28%29,version%28%29%29--   获取当前用户、库名及数据库版本，居然是mysql4.0的，蛋疼得要命...     不过还好rp不错，能猜出用户表及列名，哈哈       密码竟然是明文的       看到该网站有一个可疑的管理目录manage，在G搜索引擎中找到了后台地址       从刚才得到的帐号密码直接进后台，找上传？？绕过？？不深挖了，怕影响不好 www.2cto.com       还找到个fckeditor编辑器，版本不高，之前有个针对php+fck的 漏洞 利用，不试了，看图吧！已经有人光顾了，赶紧修复吧。       修复方案：问题都找出来了，相信管理员会知道该怎样修复 版权声明：转载请注明来源fido

查看更多关于新浪某城市联盟分站存在SQL注入漏洞 - 网站安全的详细内容...