| 动画介绍:这是个大型门户站点的漏洞,出于对大型网站的尊重,人家做到今天,也是很多人一起努力的结果,很不容易,所以WTF老大叫我把此漏洞post给了sina的网管,希望能快速修补。
好了,下面大家就看我的操作吧!
地址在这里:http://buycar.auto.sina.com.cn/huodong/shopcar/SignUp.aspx?shop_id=66
从手工测试可以看出,存在很明显的sql injection漏洞,虽然是asp.net的,依然可以注入。
于是我下载了一个nbsi2.5,正好试试好用不,这个工具黑防的公开下载里面已经收录,而且是破解版的哦。对不起小竹了。呵呵
正常检测的时候是没有漏洞的,注意这句话“售后部对来宾车辆进行冬季免费检测”,当构造错误的查询的时候,页面不会返回这句,于是我们就将他做为我们判断的标准。 | 
安全中国首页 > 动画中心 > 提权利用动画
