資訊 安全 論壇 下載 讀書 程序開發 數據庫 系統 網絡 電子書 微信學院 站長學院 QQ 考試
頻道欄目
網站安全| 安全資訊| 安全公告| 病毒預警| 人物| 企業招聘| 其他綜合|
登錄注冊
首頁 > 資訊 > 網站安全 > 正文

yxcms二次SQL注入

13-09-12        來源:[db:作者]  
收藏   我要投稿

注冊用戶處,用戶名可寫入特殊字符,導致二次注入

1  注冊用戶名:' or '1'='1

2 注銷用戶(一定要注銷,因為cookie里保存的用戶名是轉義過加上了"\"),注冊后重新登錄就能取出帶'號的用戶名

3 在訂單管理里面可以拿出所有人的訂單信息,比較雞肋的是數據庫中account字段設置了30個字符的限制,沒辦法新增后臺管理員賬號……



 

修復方案:

只給'加上\是不行的,從數據庫取出來會導致二次注入,做html轉義吧

點擊復制鏈接 與好友分享!回本站首頁
相關TAG標簽
上一篇:JAVA EE課堂筆記
下一篇:poj 1741 Tree 樹的分治
相關文章
熱門專題推薦 vmware win7激活工具 win10激活工具 excel word office激活 小馬激活工具 重裝系統 數據恢復 u盤啟動工具
圖文推薦
文章
推薦
熱門新聞
· 錘子堅果Pro發布后,羅永浩哭了
· 想實習的大學黨看過來!這些科技巨頭最
· 羅永浩錘子發布會搶先消息:錘子科技新
· Google新一代系統Fuchsia OS界面曝光
· 中國唯一連續運營20余年的網絡游戲,還
· iPhone都便宜了 為何國產手機越來越貴
· 丟人!谷歌和Facebook竟被虛假企業電郵
· 中國移動支付震驚日本網友 為什么美國

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片