V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 4221 days ago, the information mentioned may be changed or developed.
问题描述 :
在阿里云的:
线下汇款管理 >
无人认领款项 >
无人认领汇款查询
中输入'%'号就获取了大量的无人认领款项信息
这可能暗示了潜在漏洞
请自查
2014-10-05 17:28:03
您好,这本身是个查询平台,输入信息都可以看到的,但是款项录不到您会员中心,就跟万网的域名查询平台功能类似,请您放心,谢谢
在阿里云的:
线下汇款管理 >
无人认领款项 >
无人认领汇款查询
中输入'%'号就获取了大量的无人认领款项信息
这可能暗示了潜在漏洞
请自查
2014-10-05 17:28:03
您好,这本身是个查询平台,输入信息都可以看到的,但是款项录不到您会员中心,就跟万网的域名查询平台功能类似,请您放心,谢谢
 | 1 wdlth Oct 5, 2014 搜索型注入? |
 | 2 Showfom PRO 只有个名字而已- - 别的信息没有 |
 | 3 qiuai PRO 又不知道金额.没法认领的. |
 | 4 pyshift Oct 5, 2014 阿里会有搜索型注入吗,那也太low了 |
 | 5 xoxo Oct 5, 2014 想获得人家汇款的金额冒用?这是金融诈骗,重罪 |
 | 6 iam36 Oct 5, 2014 via Android SQL注入漏洞 |
 | 7 wzxjohn Oct 5, 2014 via iPhone 没啥意义,估计也就是没过滤百分号。关键是就如客服所说这些信息你看到也没用。。。就跟失物招领一样。。。你总不能失物招领还把所有东西都锁起来吧。 |
 | 8 raincious Oct 5, 2014 @iam36 很明显这不是注入漏洞。只是Wildcard未转译,是可靠性问题而不是安全问题。 话说SQL的Wildcard转义真的太纠结,原来我都是在搜索关键词的查询语句上做转义(将%删掉)。 后来搜索功能写多了烦了,才在SQL Builder上加入了规范的Wildcard转义方法,用!做转义字符。 实现起来就像这样: https://github.com/raincious/facula/blob/master/src/Facula/Unit/Query/Operator/PgSQL.php#L452 参考: http://stackoverflow.com/questions/4588424/searching-using-mysql-how-to-escape-wildcards |
Select Language