新浪香港某些应用，越权;sql注入;XSS

楼主^#

更多发布于：2012-11-25 12:33


	越权：http://cs.sina.com.hk/cgi-bin/admin/answer.cgi?id=85;action=enter 可对当前数据进行CRUD 图片：20121124110654322.jpg 图片：20121124110654959.jpg sql注射（这个应用注射点比较多，自己再找找）： http://misssee.sina.com.hk/cgi-bin/index.cgi?action=view;id=8757 图片：20121124110654614.jpg 图片：20121124110655342.jpg http://misssee.sina.com.hk/cgi-bin/index.cgi?action=view;id=8757 把上面连接改为： http://misssee.sina.com.hk/cgi-bin/index.cgi?action=add 或直接留言形成XSS! 图片：20121124110655288.jpg 图片：20121124110655601.jpg 还能影响远端其他应用对该应用的嵌入：图片：20121124110655432.jpg