精灵在线某处弱口令后台SQL注入

漏洞标题 精灵在线某处弱口令后台SQL注入 相关厂商 spriteapp.com 漏洞作者 scanf 提交时间 2016-05-16 09:41 公开时间 2016-06-30 09:50 漏洞类型…

漏洞标题 精灵在线某处弱密码后台SQL注入 相关制造商 Spriteapp.com 漏洞作者 SCANF 提交时间 2016-05-16 09: 41 公共时间 2016-06-30 09: 50 漏洞类型 后台的密码很弱 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 漏洞详细信息 https://safe.spriteapp.com/ 背景地址 国威: 123456

还在注射 在关键字管理那里

了解我们可以为用户做些什么。

您可以看到用户名,密码,md5,手机号码,各种令牌。 刚跑开了

看看你是否可以登录。

仍然可以密封数字或东西。 还有一个任意上传。 在此处编辑用户信息

不幸的是,它没有解决 但可以上传HTML什么SWF或东西

仍然有这么多用户。

漏洞证明:

修理计划: 解决弱密码问题 参数查询 版权声明:请注明源scanf @乌云