妈妈网某管理后台SQL注入漏洞+越权访问 - 网站安-自学php网

子栏目

主页 > 入门引导 > 黑客攻防 >

妈妈网某管理后台SQL注入漏洞+越权访问 - 网站安

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] 先说注射：注射点：http: try mama cn admin user_info php?bbirth=1上面注入点是通过google找的，不知怎么点到的。还有下面的参数也有注入的：一起说了 province与username。上图：密码有加盐，我就...

先说注射：

注射点：

http://try.mama.cn/admin/user_info.php?bbirth=1

上面注入点是通过google找的，不知怎么点到的。

还有下面的参数也有注入的：一起说了.

province与username。

密码有加盐，我就不破解登录了。

再说越权访问

http://try.mama.cn/admin/user_info.php 这个看样子就是用户信息了。不多说直接就能访问，admin都没验证模块权限哦。

97613条记录，真实姓名+邮箱毫无保留。。

修复方案：

过滤，验证模块权限。

AnyMacro Mail安宁邮件系统之SQL注射+代码执行(含修

方维团购4.3最新版sql分析 - 网站安全 - 自学php

最新评论

加载更多~~

添加评论

更多文章推荐

华为网盘部分用户密码修改 - 网站安全 - 自学p 2015-04-15
奇淫巧技绕过安全狗webshell查杀及修复建议 - 网站 2015-04-15
浅谈如何保证discuz插件安全 - 网站安全 - 自学p 2015-04-15
JSONP安全防范解决方案新思路 - 网站安全 - 自学 2015-04-15
U-mail某鸡肋代码注入导致敏感信息泄漏(demo测试成 2015-04-15
如何检查网站是否有漏洞或是否被攻击过 - 网站 2015-04-15
百合-百度 OAuth 2.0 redirect_uri CSRF 漏洞 - 网站安全 2015-04-15
觅风E语言教程，共43课！新手推荐高清！ 2014-10-23
AA拼车漏洞3#（AA拼车设计不当可批量修改全站用 2015-04-15
江南科友HAC运维审计系统存在命令注入及暴路径 2015-04-15

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论