嗯,這個點也是,我開始還以為是mysql
漏洞系統:mec.ikang.com
隨便在搜尋引擎搜尋一下,發現收錄了很多類似以下的連線
這裡可以看到 登陸的username就是kefupeixun
這個位址是不需要授權訪問的
[b]但是,訪問這個位址之後,再訪問其他功能頁,就不需要登陸了,就是當前登陸的user了,這個比較坑有木有[/b]
比如先訪問了
馬上訪問
就直接以客服培訓的身份登陸了
另外,越權位址也是存在sql注入的。
注入點:
加單引號報錯 error-based,爆出路徑
注入引數 v
資料庫系統:oracle
這個直接就是主庫 misnew了,member裡面的資訊就太多了,手機號,姓名,身份證之類的
檢查過濾使用者輸入。
阿里 蘇寧併購愛康國賓
騰訊科技訊3 月 12 日訊息,據天眼查資料顯示,3 月 www.cppcns.com11 日,愛康國賓主體公司愛康國賓健康管理集團 完成併購融資,投資方為阿里巴巴 蘇寧易購 雲鋒 博裕資本。1 月 14 日晚間,蘇寧易購發布公告稱,公司子公司蘇寧國際集團股份 以下簡稱蘇寧國際 計畫出資 5000 ...
愛康國賓任意賬戶密碼重置漏洞及修復
目前來說由於某些問題,這個密碼重置漏洞不會影響任何使用者,不過這個問題客觀來說還是個高危啊,早發現早修補啊。1 註冊位置,只需要使用者名稱和密碼就可以註冊了。2 那麼直接就可以修改使用者名稱重複請求達到暴力註冊的目的。3 這裡註冊了50個帳號作為演示,帳號 px16241 至 px162450 密碼...
康益明愛崔紫娟!!!
現在回想,曾經你是那麼的愛我。可是我總是傷你。不懂得珍惜,現在後悔又有什麼用?只能怪自己。每時每刻都在想你,真的好想好想,雖然我知道我對你的傷害,現在要追回你不容易,但是我會更努力的。曾經為了追你,翻破愛情的秘籍,傻傻地在千萬首詩中找那麼一兩句適合那些風景地的詩句,然後帶你去看風景,然後再吟詩,當時...