<tfoot draggable='sEl'></tfoot>

妈妈网某管理后台SQL注入漏洞+越权访问 - 网站安

先说注射：

注射点：

上面注入点是通过google找的，不知怎么点到的。

还有下面的参数也有注入的：一起说了.

province与username。

密码有加盐，我就不破解登录了。

再说越权访问

http://try.mama.cn/admin/user_info.php 这个看样子就是用户信息了。不多说直接就能访问，admin都没验证模块权限哦。

97613条记录，真实姓名+邮箱毫无保留。。

修复方案：

过滤，验证模块权限。

查看更多关于妈妈网某管理后台SQL注入漏洞+越权访问 - 网站安的详细内容...

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did15426

更新时间：2022-09-13 阅读：77次

上一篇： AnyMacro Mail安宁邮件系统之SQL注射+代码执行(含修

下一篇：东方航空员工服务网设计缺陷+SQL注入+任意文件上