摘要:
收集作为备忘 注册 任意用户注册短信轰炸/验证码安全问题/密码爆破批量注册用户枚举用户名/进行爆破SQL注入/存储型XSS 登陆 短信轰炸/验证码安全问题/密码爆破SQL注入可被撞库空密码绕过/抓包把password字段修改成空值发送认证凭证替换/比如返回的数据包中包含账号,修改账号就能登陆其他账号 阅读全文
摘要:
影响版本:2.11.3 / 2.11.4 大约2012年左右的网站 貌似不多了 刷教育SRC 碰到一个 利用方法:用户名处写入‘localhost’@'@”则登录成功。 (注意全部是英文标点符号,最后一个为英文双引号) 附上几个php爆绝对路径的办法: phpMyAdmin/libraries/se 阅读全文