[ 高危 ] my存在sql注入

rank和金币这算RMB为700

这算一个手机端的网站,往往手机端的功能和PC端的功能可能代码写的不一样,接口不一。

登录后,在xxx.maoyan.com/authcenter/wxpay/m?appId=khEm4nbp处,用 1=1 和 1=2验证sql注入

xxx.maoyan.com/authcenter/wxpay/m?appId=khEm4nbp’ and ‘1’=’1

xxx.maoyan.com/authcenter/wxpay/m?appId=khEm4nbp’ and ‘1’=’2

第二个返回错误,判断注入存在,而后sqlmap进行验证。

这里主要是爬虫能爬到手机的站(主站/m/,再到这个站),进行登录验证后再进行检测。

登录这里很关键吧,没有登录和已经登录扫描结果不一样。

-773

由内存过期失效引起的密码爆破

事件描述
有一漏洞为XX(公司主业务,一知名网站)的密码爆破重置。初一看没在意,因为今天是在看了各种爆破。后经提醒是XX的,漏洞存在的话实在是严重,我甚至能从我认识的人中找出几个来拿到他们的账号和里面的信息。

继续阅读由内存过期失效引起的密码爆破