首页
社区
课程
招聘
E家洁某站SQL注入
发表于: 2015-9-12 23:08 1237

E家洁某站SQL注入

2015-9-12 23:08
1237
新闻链接:http://www.wooyun.org/bugs/wooyun-2015-0140570
   新闻时间:2015-09-12 09:23
   新闻正文:
漏洞概要 关注数(3) 关注此漏洞
缺陷编号:         WooYun-2015-140570
漏洞标题:         E家洁某站SQL注入
相关厂商:         1jiajie.com
漏洞作者:         her0ma
提交时间:         2015-09-12 09:23
公开时间:         2015-09-12 13:36
漏洞类型:         SQL注射漏洞
危害等级:         高
自评Rank:         20
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:         http://www.wooyun.org
漏洞详情
披露状态:
2015-09-12:        细节已通知厂商并且等待厂商处理中
2015-09-12:        厂商已经主动忽略漏洞,细节向公众公开
简要描述:
SQL注入,多库权限!
详细说明:
具体的注入点如下:

http://data.1jiajie.com:80/i.php?a=8010&f=1 (POST)

password=e&username=*

username参数的问题,有多个库的权限,如图:

漏洞证明:
只是为了来点rank,没啥技术含量

就不继续深入进后台啥的了……

修复方案:
登录框注入,禁止拼接SQL。
来源: her0ma@乌云

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//