上面这个注入点还找到一个案例:
文章插图
不过存在问题的便是这个CMS的密码加了一个固定字符串当作盐,在解MD5时会存在困难 。
0x03 总结:按照惯例,来小结几句 。
关于SQL注入的防御,应该有很多方法了,首先就是不信任用户输入,严格过滤参数,之后的话还可以使用预查询方案,之后的话还可以使用软硬件防火墙 。不过这些理论上都会存在bypass的情况,不过我太菜,不会bypass 。
另外就是关于参数过滤,如同上面,执行参数过滤,但是依然找到了漏网之鱼,所以过滤策略某种情况下也是不可靠的 。
最后就是关于代码审计了,代码审计一时爽,一直审计一直爽,奥力给!!!
声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关!
【某团购CMS的SQL注入漏洞代码审计】
推荐阅读
![[德斯]82284.6欧元起售 新款梅赛德斯-AMG E级开启预定](https://k-static.6789.com/uploads/auto-pic/202007/07/1594089939_69902300.jpg)
- 店铺爆款选择与打造 网店某一款商品如何打造爆款
- 什么是抗环瓜氨酸肽抗体?
- DNS侦查工具
- 额头出痱子怎么办
- 江苏省|疫情期间钓鱼被举报,江苏数钓鱼人河边被抓,举报人是某钓友老婆
- 摆放挂钟也讲究风水 在家中某位置摆放是大忌!
- 帝国cms内容批量替换:http头,图片路径等
- 秘书|女网友爆料:浙江某公司男经理招聘贴身女秘书?要求同住一房!
- 帝国CMS7.5使用PHP7.x环境登录后台报错的解决方法!
- 在帝国cms内容页根据关键字调用相关内容