0x3 SQL注射
webservice服务需要一个通信密码,但官方自己留了一个万能密码:auth.key.whir2012

有了这个key,webservice都能使用。可以进行添加、删除用户等操作。

webservice很多地方没有使用参数查询还是拼接sql,存在SQL注射:


暂无评论