月度归档: 2011年5月

1 篇文章

对搜狐、网易和TOM三大门户网站的SQL注入漏洞检测
一、搜狐门户网站 首先,来看看搜狐网站,搜狐网站上的动态网页大部分是采用PHP语言编写的,同样注入也很多。例如: http://app.sh.sohu.com/lo***l/s.php?id=636 这个网页是一个欧莱雅广告页面,未对提交的数字参数进行检测,可直接利用SQL注入获得当前数据版本、库名、用户等信息。首先,通过Order by查询获得字段数目为9,然后通过union select查询可…