网友发现火车票订票网站12306.cn存在sql注入漏洞

    有网友发现中国铁路货运电子商务系统12306.cn存在sql注入bug,只要在浏览器地址栏中输入http://hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=–>%27″>以及“您想说的话”,就可以让该页面错乱并显示“您想说的话”。 比如,输入: hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=–>%27″><H1%20style=”color:red;font-size:100px;”>3个亿的傻x项目<%2FH1>

效果如下:

12306sql注入的bug

由于存在sql注入攻击的漏洞,在该网站注册的用户的手机号和身份证对应关系可能被窃取。

© 2021 谈谈IT All Rights Reserved. 本站访客数人次 本站总访问量
Theme by hiero