漏洞标题 江阴客运站售票网站存在漏洞，涉及1300W预约记录（姓名/座位号/旅行时间/身份证等） 相关制造商 江阴汽车客运站售票站 漏洞作者 过路人 提交时间 2016-04-27 14: 00 公共时间 2016-06-13 17: 00 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 Mysql的 漏洞详细信息 GET /Orders/SearchResult.aspx?sj=20160426&mdd=%E8%8B%8F%E5%B7%9E&sfd=%E6%B1%9F%E9%98%B4%E7%AB%99 HTTP/1.1 主机: **。**。**。** 接受: text/html，application/xhtml + xml，application/xml; q=0.9，*/*; q=0.8 连接:保持活动状态 代理连接:保持活动状态 Cookie: ASP.NET_SessionId=q5jizeshxpnubabubrr1e5cj 用户代理: Mozilla/5.0（iPhone; CPU iPhone OS 9_2_1，如Mac OS X）AppleWebKit/601.1.46（KHTML，如Gecko）Mobile/13D15 MicroMessenger/6.3.15 NetType/WIFI Language/en_US 接受语言: zh-cn Referer:http://**。**。**。**/Orders/Search.aspx？code=001mJBQ50vk0mv1FLSQ50XzFQ50mJBQo＆amp; state=875 Accept-Encoding: gzip，deflate 参数mdd存在sql注入 看看第一张桌子 EVERY_TICKET_RECORD 13110696 超过1300万 字面意思EVERY_TICKET_RECORD=每个预订记录 然后我们看一下细节 涉及的领域是118 漏洞证明： 修理计划： 过滤 版权声明：请注明出处。居民A @乌云