帮一个朋友检测网站时,顺手发现了友言的 漏洞 :
从友言拿到代码,安装,然后访问博客,上NETWORK,可以看到一条这样的网络请求
http://api.uyan.cc/?url=xxxx&title=xxx&du=&pic=&vid=&tag=&uid=XXX&acl=&su=XXXX{%Inject Here%}
利用该地址即可入侵。
Current DB: uyan
另外,[0b4e7a0e5fe84ad35fb5f95b9ceeac79]这个密码也太那啥了吧?
不过幸好友言的人没用某公司的产品,所以用某公司的产品和谷歌均查不到后台地址,嗯。
修复方案: 没啥好说的
查看更多关于友言网一处SQL注入漏洞+管理员弱口令 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14353