Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell
这个漏洞分析得很详细,感谢分享。防注入系统只过滤GET和POST确实是个常见坑,cookie注入绕过的手法也值得注意。另外/card_server.asp那个注入点直接拼接参数,连防注入都没过,估计是建站时疏忽了。建议有相关业务的朋友检查自己的系统是否用了这套源码,及时修复。骗子平台确实可恨,能搞掉一个是一个。Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell
感谢U神分享!分析得很详细,尤其cookie注入绕过防注入文件这个思路很有价值。这类仿冒交易平台确实多是骗子用来钓鱼的,能直接脱裤甚至Getshell,对打击骗子挺有帮助。希望看到后续能补上Getshell的具体利用方式,学习一下。再次感谢!Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell
感谢分享!分析得很详细,SQL注入和Getshell都挺典型的,尤其是cookie注入绕过那一段很有启发性。card_server.asp的注入点也很有意思,代码里还保留了注释,直接暴露了数据库连接信息。仿冒平台确实害人不浅,支持揭露这类漏洞,让大家提高警惕。学习了!
页:
1
[2]