-
-
E家洁某站SQL注入
-
发表于: 2015-9-12 23:08
-
新闻链接:http://www.wooyun.org/bugs/wooyun-2015-0140570
新闻时间:2015-09-12 09:23
新闻正文:
漏洞概要 关注数(3) 关注此漏洞
缺陷编号: WooYun-2015-140570
漏洞标题: E家洁某站SQL注入
相关厂商: 1jiajie.com
漏洞作者: her0ma
提交时间: 2015-09-12 09:23
公开时间: 2015-09-12 13:36
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 20
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org
漏洞详情
披露状态:
2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
SQL注入,多库权限!
详细说明:
具体的注入点如下:
http://data.1jiajie.com:80/i.php?a=8010&f=1 (POST)
password=e&username=*
username参数的问题,有多个库的权限,如图:
漏洞证明:
只是为了来点rank,没啥技术含量
就不继续深入进后台啥的了……
修复方案:
登录框注入,禁止拼接SQL。
来源: her0ma@乌云
新闻时间:2015-09-12 09:23
新闻正文:
缺陷编号: WooYun-2015-140570
漏洞标题: E家洁某站SQL注入
相关厂商: 1jiajie.com
漏洞作者: her0ma
提交时间: 2015-09-12 09:23
公开时间: 2015-09-12 13:36
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 20
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org
披露状态:
2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
SQL注入,多库权限!
详细说明:
具体的注入点如下:
http://data.1jiajie.com:80/i.php?a=8010&f=1 (POST)
password=e&username=*
username参数的问题,有多个库的权限,如图:
漏洞证明:
只是为了来点rank,没啥技术含量
就不继续深入进后台啥的了……
修复方案:
登录框注入,禁止拼接SQL。
来源: her0ma@乌云
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
