摘要:
昨天,发现系统被人通过程序漏洞,获取到了数据库的信息,并获取系统的后台登录账号进行了登录。问题产生的原因是系统一个url存在参数未过滤漏洞,导致别人通过这个url如http://daomain/a.php?xxxxxxxxx&id=23,在通过havij软件获取到了数据库信息。未过滤的参数就是id,在程序中没有做校验。查找问题的过程,通过分析nginx的log,发现大量如下的代码,其中xxxxxxxxxxx&id=是我的正常的参数xxxxxxxxxxx&id=999999.9+union+all+select+0x31303235343830303536--xxxxxx 阅读全文
posted @ 2013-02-20 17:48
daly2008
阅读(1088)
评论(0)
推荐(0)
浙公网安备 33010602011771号