1,http://beijing.didatuan测试数据/team/?addr=%E6%8A%A0%E6%8A%A0%E7%BD%91从在sql注射 2,http://HdhCmsTestdidatuan测试数据/admin 后台地址,而且没有验证码 通过sql注射可以获取用户资料(电话,手机,邮箱等信息),还有可能获取管理帐号密码(没有进一步测试),即使获取密码无法解密,还有可能得到邮箱,用户名等其他信息用来社工.后台地址暴露且没有验证码(虽然有验证码不一定能防止暴力猜解,但总比没好吧),有可能通过暴力猜解后台帐号或者通过社工等其他手段进入后台 漏洞 证明: 修复方案: 麻烦能尊重一下,多考虑一下用户的利益 作者:冷冷的夜
查看更多关于嘀嗒团SQL注射及修复 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did12286