![icyflash](https://cdn.v2ex.com/avatar/8ab7/f718/6264_large.png?m=1422349910")
这是一个创建于 5030 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 9hills 2012-01-04 23:29:03 +08:00 又是明文密码。。 |
 | 2 sarices 2012-01-04 23:32:20 +08:00 502了 |
 | 3 Hyperion 2012-01-04 23:32:20 +08:00 存密文对得起用户, 存明文对得起[哔]. /摊手 |
 | 4 haohaolee 2012-01-04 23:37:20 +08:00 呵呵,上次谁还出来背书说新浪不是明文。看来对付这些国内的站就要和对付蒙牛一样 |
 | 5 vincent1q84 2012-01-04 23:42:31 +08:00 该死的新浪还不能注销…又不想通过发敏感词的方式“被注销”… |
 | 6 xdata 2012-01-04 23:50:11 +08:00 502.. Google搜下还是能找到其他地方缓存的页面... |
 | 7 VYSE 2012-01-05 00:00:10 +08:00 已经恢复了,数据库叫whatis,不知道怎么暴出来的 |
 | 9 flyingnn 2012-01-05 00:04:25 +08:00 大公司都这么不可信,没信用没良心. |
 | 10 underone 2012-01-05 00:06:45 +08:00 新浪微博也是明文?嚓。。。 |
 | 12 Mutoo 2012-01-05 00:28:12 +08:00 @VYSE 用户提交的数据没有经过过滤就直接放入sql字段进行SQL查询,系统会毫无保留地返回结果的。你可以google一下SQL注入,很容易上手的,我初二的时候就会这招了……一般只有小网站才会出这种错,没想到新浪也…… |
 | 13 frittle 2012-01-05 00:28:31 +08:00 真烦,国内到底有有没有大网站不是明文密码的=_=|| qq的密码和新浪微博一样限制16个字,我都怀疑qq数据库里的也是明文密码了。 |
 | 14 aveline 2012-01-05 00:31:41 +08:00 @Mutoo 以前学校网站也有这漏洞。。。去找老师然后老师说反正内网用没事的。。。然后还送了小礼物。。。后来才懂那就是封口费。。。 |
 | 15 delectate 2012-01-05 00:45:03 +08:00 php,注入点。sina这也太…… 貌似一个刚刚入门的php coder,也要学习如何防止注入吧。 |
| 16 VYSE 2012-01-05 00:46:02 +08:00 @Mutoo PHP这种注入也很多的,那时ASP更猖狂,加个冒号直接执行任意查询语句,碰MSSQL SA权限可以开SHELL,不过这次完全不一样,IASK子站数据库权限那么大,新浪安全部门存在意义何在 |
 | 17 Livid MOD PRO 本来除了邮箱用户,大家都不是很在乎自己的新浪帐号。但是有了微博之后,新浪确实应该对自己的账户系统的安全再重视一些了。 |
| 18 Mutoo 2012-01-05 10:29:22 +08:00 CSDN事件过了那么多天了,SINA居然没有动作,现在被爆出来居然还用明文,这样不作为是为什么,难道上面有人要求他们这样做? |
| 19 delectate 2012-01-05 10:32:38 +08:00 |
 | 23 kongruxi 2012-01-05 14:25:11 +08:00 我以前学校那个图书馆检索系统是直接将SQL都写到html中。我想,既然有勇气将SQL都写到html中,也会有勇气让你直接可以SQL注入的。  |
 | 25 feikeq 2012-01-05 18:01:43 +08:00 SELECT concat 80x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e 9+FROM+'whatis'.user where uid=12715428867 |
Select Language