某第三方银行移动业务服务商SQL注入漏洞
此业务应该是提供给各银行使用的
先说说怎么找到的吧。
http://wap.abchina.com/Portal/logon/Index.aspx 这是农行的wap页面,浏览器访问能看到这里提供的信息。
http://3g.paybest.cn/abc_drawing.php?drawing=4 中国农业银行-暑假"疯"行,保险、抽奖、送不停!机票"无底线"!
可以看到,是农行的活动页面,本想提交给农行的,不过这业务是由万易通提供的,看了介绍,应该是向各大银行wap提供的服务。
sqlmap -u http://3g.paybest.cn/abc_drawing.php?drawing=4
用户信息:
后台没找到,就没继续深入。。
修复方案:
升级