发现OSC的一个Bug

优雅先生 发布于 2013/04/27 21:07
阅读 693
收藏 1

@红薯 ,如下图,数据库信息都暴露出来了,不知道存不存在SQL注入漏洞?

加载中
0
Ryan-瑞恩
Ryan-瑞恩
老大不会这么粗心的,,,,
优雅先生
优雅先生
但问题确实出现了,我可不会PS
0
肥添
肥添
@红薯  一下,但是我好像看不到这个问题的重现
优雅先生
优雅先生
我在我公司的电脑和我自己的Mac上都测出这个问题,你只要把你那个签名搞得很长很长就能重现
0
帖子列表
帖子列表
@红薯 取消最佳答案似乎也有bug
0
王阿觉
王阿觉
十分给力
优雅先生
优雅先生
这有啥给力,只能说OSC漏洞太明显,我无意碰到的
0
金三胖
金三胖
亲,这种sql无法注入的
优雅先生
优雅先生
回复 @jxqlovedn : 不用,只是你可能想不到而已。我还是认为有注入的可能性。
金三胖
金三胖
回复 @jxqlovedn : 这个sql用问号作为参数进行了占位,就是用来防止执行非法参数的。手机回复不便,建议你去查查相关资料吧
优雅先生
优雅先生
未必
0
request
request
刚试了好几遍了、 貌似没问题啊,看我个性签名。已经处理过了?
0
PYZWORLD
PYZWORLD
放心不会被注入
0
酒逍遥
酒逍遥

注入的风险不大...但是 直接暴露数据库出错的信息 是非常不安全的..

会增加注入风险..

bug评级: 一般

修复时间:1个工作日内

相关人员处理:测试人员 扣除奖金

酒逍遥
酒逍遥
回复 @匆哥 : 深有同感..感同身受..知音知音啊
酒逍遥
酒逍遥
回复 @Recall : 开个玩笑而已..不过线上的东西出了bug 我们这开发和测试都是有责任的.
酒逍遥
酒逍遥
回复 @Recall : 哈哈 领导现在是个贬义词啊..
Recall
Recall
回复 @匆哥 : 。。。话说。这家伙也算领导???
Recall
Recall
好建议,改明儿你开发的时候,少些一个符号导致sql失败,行。这个月工资你别领了
下一页
返回顶部
顶部