您现在的位置: 主页 > 黑客联盟 > 盗QQ密码 > 文章内容

QQ黑客基地,盗QQ密码,黑客分站一处验证码设计不当加sql注射

作者: qq黑客 来源:未知 时间: 2014-03-10 阅读:
QQ黑客基地,盗QQ密码,黑客分站一处验证码设计不当加sql注射一处验证码设计不当,还有数据库显式报错。
 
1、缺陷页面在这里
 
http://haoma.sogou.com/appeal.html
 
 
 
这里是一个申诉表单,看到最下面的那个验证码了吗?
 
这里验证码是个客户端逻辑,我只能说略奇葩。
 
那么基本上验证码是形同虚设,绕过客户端逻辑后,提交的表单如下
 
 
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
POST /appeal/appeal.php HTTP/1.1
 
Host: haoma.sogou.com
 
Proxy-Connection: keep-alive
 
Content-Length: 83
 
Accept: */*
 
Origin: http://haoma.sogou.com
 
X-Requested-With: XMLHttpRequest
 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.76 Safari/537.36
 
Content-Type: application/x-www-form-urlencoded
 
Referer: http://haoma.sogou.com/appeal.html
 
Accept-Encoding: gzip,deflate,sdch
 
Accept-Language: en-US,en;q=0.8,it;q=0.6,ja;q=0.4,zh-TW;q=0.2
 
Cookie: XXXXXXXXXXXXXXXXXXXXXXXXXXX
 
 
 
number=010-654552121&tag=bbbbbbbbbbbbb&reason=aaaaaaaaaaaaaaa&email=aaaaa%40aaa.com

 

 
看到了没,没有验证码了。
 
 
 
2、这个表单直接就数据库显式报错了,我就没拿工具跑了
 
tag参数和reason参数都有问题,你们自己检查吧。
 
 
 
 
直接报错
 
 


 
不知道这里的数据对你们来说是不是重要的