http://igame.qq.com/giftcenter/actinfo.php?type=all&rd=0.12860660045407712&op=actidlistview&alist=987 and 1=1
正常
order by 13的时候正常了说明13个字段,继续union,但是发现and 1=1的时候完全正常
and 1=2的时候失败鸟,为神马捏,初步分析是里面含有隐含的逻辑,注射成功但是由于业务逻辑无法在前台显示,可以这么试试
这下成功了,然后再看看哪个字段是要被逻辑用到的吧
这样就可以了嘛,用这个字段显示就可以
修复方案:
通常的防注入
查看更多关于腾讯游戏人生注入漏洞(附分析及绕过方式)的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14228