X黑手网
X黑手网
X黑手网

XXX集团SQL注入漏洞

厂商名称:XXXX集团有限公司

漏洞标题:XXXX集团有限公司 XXXX 微信小程序存在SQL注入漏洞

漏洞类型:事件型 任意账户接管漏洞

网站名称:XXXX微信小程序

漏洞等级:严重

漏洞简述:XXXX集团有限公司-XXXX-微信小程序存在sql注入漏洞,存在泄露大量用户隐私信息的风险。

漏洞URL :

https://XXXXX.net/BAP/OpenApi

复现步骤:需要配置好burpsuite抓取微信小程序报文

Sql注入

第一步:搜索找到XXX小程序,并打开

图片[1]-XXX集团SQL注入漏洞-X黑手网

第二步:点击 登录后burp可以抓到如下报文

图形用户界面, 文本, 应用程序

描述已自动生成

在Select的 FMOBILENUMBER 修改成

“FMOBILENUMBER”:”17739339431′ and ‘1’=’1″

图片[2]-XXX集团SQL注入漏洞-X黑手网

修改成

“FMOBILENUMBER”:”17739339431′ and ‘1’=’2″

图片[3]-XXX集团SQL注入漏洞-X黑手网

两次返回结果不一样,存在注入漏洞。

© 版权声明
THE END
喜欢就支持一下吧
点赞11赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容