漏洞标题 江阴客运站售票网站存在漏洞,涉及1300W预约记录(姓名/座位号/旅行时间/身份证等) 相关制造商 江阴汽车客运站售票站 漏洞作者 过路人 提交时间 2016-04-27 14: 00 公共时间 2016-06-13 17: 00 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构(cncert National Internet Emergency Center) 标签标签 Mysql的 漏洞详细信息 GET /Orders/SearchResult.aspx?sj=20160426&mdd=%E8%8B%8F%E5%B7%9E&sfd=%E6%B1%9F%E9%98%B4%E7%AB%99 HTTP/1.1 主机: **。**。**。** 接受: text/html,application/xhtml + xml,application/xml; q=0.9,*/*; q=0.8 连接:保持活动状态 代理连接:保持活动状态 Cookie: ASP.NET_SessionId=q5jizeshxpnubabubrr1e5cj 用户代理: Mozilla/5.0(iPhone; CPU iPhone OS 9_2_1,如Mac OS X)AppleWebKit/601.1.46(KHTML,如Gecko)Mobile/13D15 MicroMessenger/6.3.15 NetType/WIFI Language/en_US 接受语言: zh-cn Referer:http://**。**。**。**/Orders/Search.aspx?code=001mJBQ50vk0mv1FLSQ50XzFQ50mJBQo& state=875 Accept-Encoding: gzip,deflate 参数mdd存在sql注入
看看第一张桌子 EVERY_TICKET_RECORD 13110696 超过1300万 字面意思EVERY_TICKET_RECORD=每个预订记录 然后我们看一下细节 涉及的领域是118
漏洞证明:
修理计划: 过滤 版权声明:请注明出处。居民A @乌云