网上车市门户盲打后台,SQL注入 - 网站安全 - 自学

xss盲打后台，后台存在SQL注入，密码HASH保存于cookies

详细说明：

老套路，建议反馈提交

 

cookies接收

 

cookies欺骗进入后台，没链接，不能跳转其他页面，存在sql注入

 

注入太慢，发现密码HASH保存在cookies的_php_auth_pw键中

 

登陆杀进后台

 

修复方案：

过滤xss语句

httponly

后台绑定IP或拒绝外网访问

密码HASH不要保存于cookies中

查看更多关于网上车市门户盲打后台,SQL注入 - 网站安全 - 自学的详细内容...