刚才去申通快递官网查询一个邮件,点了一个链接,然后习惯性的检测了下,然后就发现了这个蛋疼的注入漏洞,如上图所示。
这是一个很明显的 Sql Inject,结构为:Asp + Mysql,而且这几个管理员密码居然还是明文的……
后来又去检查了下其他页面,发现该站实际上到处都是注入漏洞,本人表示相当的无语……
该程序缺陷已通知申通快递官方,请各位同学不要继续搞了,免引起不必要的麻烦。。。。。。
同时坐等乌云各种装逼犯,提交所谓的漏洞……
PS:
据我所知,有人长期收购此类数据库,貌似价钱还不错,虽然这个不是主库,但必定在公司内网,稍微深透一下行了,估计很好搞。。。
申通主站这么明显的漏洞,估计有很多人搞过了吧……
留言评论(旧系统):
文章来源于lcx.cc:申通快递(STO)官网(www.sto.cn)爆注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论