昵图网SQL注入跨越权限查看所有审核记录 - 网站

昵图网SQL注入跨越权限查看所有审核记录过滤布严格，导致SQL注入引发的跨权限查看所有记录

测试账号rainboyhi 测试密码rainboyhi 登录成功后，访问下面网址 http://user.nipic.com/index. asp ?open=pic_list_wait.asp?shenhe=shenheDENGYU0

可以看到没有任何的审核图片，因为我根本就没有上传图片 然后我们进行or 1=1的操作，访问下面的网址 http://user.nipic.com/index.asp?open=pic_list_wait.asp?shenhe=shenheDENGYU0%20or%201=1 这回就逆天了哦，可以看到所有的待审核的图片信息了哦，相当于有了管理员权限了哦  

从上面截图的记录数说明了一切，赶快修复吧

查看更多关于昵图网SQL注入跨越权限查看所有审核记录 - 网站的详细内容...