漏洞标题 (千岛湖)淳安网上门票销售sql注入涉及数百万条信息(姓名/手机号码/身份证/座位号码/价格等) 相关制造商 黛安在线门票销售 漏洞作者 过路人 提交时间 2016-04-27 14: 00 公共时间 2016-06-13 17: 10 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构(cncert National Internet Emergency Center) 标签标签 Mysql的 漏洞详细信息 注射点: GET /BusTicketInfo.go?method=queryTicketInfo&startName=%E5%85%A8%E9%83%A8%E8%BD%A6%E7%AB%99&pszBusdate=2016-04-28&endName=%E6% 9D%AD%E5%B7%9E& proxyId=02& sellstationid=& dt=1461638035938& type=web& t=Tue%20Apr%2026%202016%2010: 33: 55%20GMT + 0800%20(CST) HTTP/1.1 主机: **。**。**。** Accept-Encoding: gzip,deflate Cookie: JSESSIONID=199E13C9ACC9BFFF222962A9C39B6E63 连接:关闭 接受: */* 用户代理: Mozilla/5.0(iPhone; CPU iPhone OS 9_2_1,如Mac OS X)AppleWebKit/601.1.46(KHTML,如Gecko)Mobile/13D15 MicroMessenger/6.3.15 NetType/WIFI Language/en_US Referer:http://**。**。**。**/page/522 接受语言: zh-cn X-Requested-With: XMLHttpRequest 参数pszBusdate存在sql注入
跑一块手表看超过600,000
漏洞证明: 跑一块手表看超过600,000
修理计划: 过滤 版权声明:请注明出处。居民A @乌云