刚才去申通快递官网查询一个邮件,点了一个链接,然后习惯性的检测了下,然后就发现了这个蛋疼的注入漏洞,如上图所示。
这是一个很明显的 Sql Inject,结构为:Asp + Mysql,而且这几个管理员密码居然还是明文的……
后来又去检查了下其他页面,发现该站实际上到处都是注入漏洞,本人表示相当的无语……
该程序缺陷已通知申通快递官方,请各位同学不要继续搞了,免引起不必要的麻烦。。。。。。
同时坐等乌云各种装逼犯,提交所谓的漏洞……
PS:
据我所知,有人长期收购此类数据库,貌似价钱还不错,虽然这个不是主库,但必定在公司内网,稍微深透一下行了,估计很好搞。。。
申通主站这么明显的漏洞,估计有很多人搞过了吧……
留言评论(旧系统):