和讯网分站sql注入外加敏感信息泄露 - 网站安全

和讯网分站sql注入外加敏感信息泄露一处注入点...外加一个敏感信息的泄露...、、、、 http://licaike.hexun.com/GjzDetail.action?prodCode=400008&prodType=S 其中prodCode存在问题 加个引号报错 数字型的bool盲注 http://licaike.hexun.com/GjzDetail.action?prodCode=400008%20and%201=1&prodType=S 真 http://licaike.hexun.com/GjzDetail.action?prodCode=400008%20and%201=2&prodType=S 假 假是一个服务器错误页面 另外该服务器同时支持php的解析，目测应该是LAMP的套件安装的。 就这样侧漏了 http://licaike.hexun.com/test.php 存在了phpinfo  

PATH /usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin SERVER_SIGNATURE no value SERVER_SOFTWARE Apache/2.2.23 (Unix) PHP /5.3.23 SERVER_NAME licaike.hexun.com SERVER_ADDR 10.2.21.22 SERVER_PORT 80 REMOTE_ADDR 10.3.2.22 DOCUMENT_ROOT /usr/local/apache2/htdocs SERVER_ADMIN you@example.com SCRIPT_FILENAME /usr/local/apache2/htdocs/test.php

修复方案：

删除test.php文件 转换数字型

查看更多关于和讯网分站sql注入外加敏感信息泄露 - 网站安全的详细内容...