頻道欄目
首頁 > 資訊 > 企業安全 > 正文

江泰保險某系統某處設計不當可直接可執行SQL影響賬號密碼及大量客戶保單信息

16-07-18        來源:[db:作者]  
收藏   我要投稿

設計不當

mask 區域

1.http://**.**.**/

分析一處頁面,通過抓包可直接執行SQL:

mask 區域

1.http://**.**.**/index/indexTest.jsp

抓包:

 

Y1.png

 

條件執行,repeat請求包,去掉條件:

select usercode,password from LDQueryUser&1&0&0

發送得到返回如下:

 

Y2.png

 

拿到了大量賬號密碼:

mask 區域

*****1^522530199603130016|130016^5225011964110*****

截取部分報文嘗試登陸:

 

Y3.png

 

 

Y3.png

 

解決方案:

見上分析

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片