漏洞标题 （千岛湖）淳安网上门票销售sql注入涉及数百万条信息（姓名/手机号码/身份证/座位号码/价格等） 相关制造商 黛安在线门票销售 漏洞作者 过路人 提交时间 2016-04-27 14: 00 公共时间 2016-06-13 17: 10 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 Mysql的 漏洞详细信息 注射点： GET /BusTicketInfo.go?method=queryTicketInfo&startName=%E5%85%A8%E9%83%A8%E8%BD%A6%E7%AB%99&pszBusdate=2016-04-28&endName=%E6% 9D％AD％E5％B7％9E＆amp; proxyId=02＆amp; sellstationid=＆amp; dt=1461638035938＆amp; type=web＆amp; t=Tue％20Apr％2026％202016％2010: 33: 55％20GMT + 0800％20（CST） HTTP/1.1 主机: **。**。**。** Accept-Encoding: gzip，deflate Cookie: JSESSIONID=199E13C9ACC9BFFF222962A9C39B6E63 连接:关闭 接受: */* 用户代理: Mozilla/5.0（iPhone; CPU iPhone OS 9_2_1，如Mac OS X）AppleWebKit/601.1.46（KHTML，如Gecko）Mobile/13D15 MicroMessenger/6.3.15 NetType/WIFI Language/en_US Referer:http://**。**。**。**/page/522 接受语言: zh-cn X-Requested-With: XMLHttpRequest 参数pszBusdate存在sql注入 跑一块手表看超过600,000 漏洞证明： 跑一块手表看超过600,000 修理计划： 过滤 版权声明：请注明出处。居民A @乌云