至顶网多处SQL注入下载

来源:黑吧安全网 浏览:654次 时间:2014-06-18
做网站找雨过天晴工作室

至顶网多处SQL注入

google关键字:site:.zdnet.com.cn inurl:subclass -site:server.zdnet.com.cn

利用-来排除重复的,然后一个个试

 

1.http://security.zdnet.com.cn/files/search.php?date=201405&subclass=707

2.http://stor-age.zdnet.com.cn/files/search.php?date=201405&subclass=728

3.http://mobile.zdnet.com.cn/files/search.php?date=201305&subclass=979

4.http://net.zdnet.com.cn/files/search.php?date=201405&subclass=679

5.http://ec.zdnet.com.cn/files/searchs.php?date=&subclass=

6.http://video.zdnet.com.cn/files/search.php?subclass=0&t=0

7.http://server.zdnet.com.cn/files/search.php?subclass=0&t=0

8.http://download.zdnet.com.cn/files/search.php?subclass=0&t=0&p=5&sort=&brief=&manu_name=&key=&category=&os=&publish_date=&licence=&hit=&size=

9.http://download.zdnet.com.cn/files/search.php?subclass=0&t=0&p=5&sort=&brief=&manu_name=&key=&category=&os=&publish_date=&licence=&hit=&size=

10.http://soft.zdnet.com.cn/files/search.php?date=200710&subclass=0&p=2



直接放到sqlmap跑就是了,发现1、2、3是可以直接注入的(ec.zdnet.com.cn和server.zdnet.com.cn已经被提交过,就不测试了,其它的未深入测试)

1.security.zdnet.com.cn

2.stro-age.zdnet.com

3.mobile.zdnet.com

 

修复方案:

1.千万要举一反三,别指哪补哪儿

2.过滤吧