爱丽网子域名站SQL注射可登录后台

详细说明：主要是看到了：我是如何登录爱丽网后台的(非JS绕过、非盲打、非IP欺骗)!

进后台方法用Fiddler改返回数据包进入：

后进行测试，突发想到检测后台注入试试，然后得到后台存在注射漏洞

后台中302定向后继续显示内容的漏洞未补，造成别人可以进后台看数据

将注入点：

http://wed.27.cn/marry/marryadmin/web/store.php?method=getstoredetail&id=269

丢到胡萝卜中去，得到如下结果：

cmd5下可以破出来，但是貌似有乱码了

修复方案：

后台302跳转修补，过滤注射!!

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

• ·微软Internet Explorer浏览器Jscript.Dll
• ·CVE-2019-0708远程桌面代码执行漏洞复现
• ·Harbor任意管理员注册漏洞
• ·微软RDP远程代码执行漏洞（CVE-2019-0708
• ·有上传文件的文件名处发现的时间延迟注入
• ·Xstream远程代码执行漏洞
• ·文本编辑器VimNeovim被曝任意代码执行漏
• ·PHPCMS v9.6.0 wap模块SQL注入 | FreeBuf
• ·戴尔电脑自带系统软件SupportAssist存在R
• ·CatFish CMS V4.8.75最新版XSS漏洞审计
• ·Easy WP SMTP（v1.3.9）0 day漏洞被攻击
• ·Weblogic反序列化远程代码执行漏洞（CVE-
• ·【漏洞预警】Weblogic反序列化远程命令执
• ·ThinkPHP 5.1框架结合RCE漏洞的深入分析
• ·WordPress Core 5.0 - Remote Code Execu
• ·NetSetMan 4.7.1 - Local Buffer Overflo