织梦cmssql注入方法
修改downloadphp(网站根目录/plus/downloadphp)
将header("location:$link");
替换为
if(stristr($link,$cfg_basehost))
{
header("location:$link");
}
else
{
header("location:$cfg_basehost");
}
对link参数做判断,对不是同域名的跳转给予提示,将非本站域名跳转到网站首页,以免出现钓鱼欺诈行为。而scanv也不会再提示低危风险漏洞了。
首先建议你好好学习一下php语法,任何一个网站程序都有很大的漏洞,正如微软每过一段时间都要发布漏洞补丁,如果你的技术超过他就不存在漏洞;其次,要做好安全防护,任何一个疏忽都会造成致命打击;最后希望你多多向前辈请教,也希望你尽快渡过难关
织梦cmssql注入方法如下。
1、找到目标网站的漏洞点,可以通过手动分析网站的URL参数、表单提交等,或者使用自动化工具进行扫描。
2、根据漏洞点的不同,可以使用不同的注入语句。
3、通过构造不同的注入语句,观察网站的返回结果是否发生变化,从而确定注入点。
4、通过注入语句获取数据库的表名、字段名等信息,可以使用UNIONSELECT语句来获取数据。
0条评论