Xiaoz
漏洞文件:
en/DownloadShow.asp
chinese/DownloadShow.asp
漏洞利用:
在百度键入:
inurl: (DownloadShow.asp?DownID=)
在谷歌键入:
allinurl: DownloadShow.asp?DownID=
获得搜索页面地址复制下来.打开阿D2.32.将地址粘贴到检测地址栏里就会看到软件下方有很多可用注入点
比如:
删除:Chinese/DownloadShow.asp?DownID=50
在域名后面加上后台路径:BOSS 也就是
漏洞说明:
downid,过滤不严,导致sql注入的产生
本篇文章来源于 Xiaoz Blog 转载请以链接形式注明出处 网址:
如对本文有疑问, 点击进行留言回复!!
麦咖啡 (mcafee) VSE 8.5 防止Serv-U提权
mcafee 打造安全的windows服务器 安全设置图文说明
利用麦咖啡(McAfee)对服务器Web站点进行有效安全设置与管理
网友评论