漏洞标题 SQL注入存在于Easy Car Network的Easy Car Mall中 相关制造商 轻松的车 漏洞作者 Mel0d6y 提交时间 2016-05-12 19: 10 公共时间 2016-06-27 10: 30 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 漏洞详细信息 网址: http://api.yichemall.com/carsource/ycapi/getecpricenew?callback=jQuery1112010467815725132823_1462273401473&carId=116848&cityName=Beijing&_=1462273401474 可以注入'cityName'字段的位置
漏洞证明: 包含用户手机,地址等信息。)
修理计划: 1.使用参数检查将SQL语法的参数拦截到应用程序中 2.使用预编译的处理方法处理用用户参数拼接的SQL语句。 3.在参数即将进入数据库之前,对SQL语句的语义执行完整性检查以确认语义未更改。 4.发生SQL注入漏洞时,在拼接到SQL语句之前过滤或验证参数。不要依赖程序开头的保护代码。 5.定期审计数据库执行日志,以查看是否在应用程序的正常逻辑之外执行任何SQL语句。 来自WooyunWIKI的参考资料。 版权声明:请注明出处Mel0d6y @乌云