厂商名称:XXXX集团有限公司
漏洞标题:XXXX集团有限公司 XXXX 微信小程序存在SQL注入漏洞
漏洞类型:事件型 任意账户接管漏洞
网站名称:XXXX微信小程序
漏洞等级:严重
漏洞简述:XXXX集团有限公司-XXXX-微信小程序存在sql注入漏洞,存在泄露大量用户隐私信息的风险。
漏洞URL :
https://XXXXX.net/BAP/OpenApi
复现步骤:需要配置好burpsuite抓取微信小程序报文
Sql注入
第一步:搜索找到XXX小程序,并打开
![图片[1]-XXX集团SQL注入漏洞-X黑手网](https://cdn.x10001.com/2024/07/20240723184947334.png)
第二步:点击 登录后burp可以抓到如下报文
在Select的 FMOBILENUMBER 修改成
“FMOBILENUMBER”:”17739339431′ and ‘1’=’1″
![图片[2]-XXX集团SQL注入漏洞-X黑手网](https://cdn.x10001.com/2024/07/20240723184949953.png)
修改成
“FMOBILENUMBER”:”17739339431′ and ‘1’=’2″
![图片[3]-XXX集团SQL注入漏洞-X黑手网](https://cdn.x10001.com/2024/07/20240723184950780.png)
两次返回结果不一样,存在注入漏洞。
© 版权声明
1、本网站名称:
X黑手网
2、本站永久网址:https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
2、本站永久网址:https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
THE END
暂无评论内容