-
-
E家洁某站SQL注入
-
发表于: 2015-9-12 23:08
-
新闻链接:772K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6G2L8%4W2#2L8W2)9J5k6h3!0J5k6#2)9J5c8X3u0#2k6%4y4Q4x3V1k6%4L8$3!0&6N6h3&6Q4x3X3b7J5x3o6p5#2i4K6u0V1x3o6p5@1x3o6f1%4x3l9`.`.
新闻时间:2015-09-12 09:23
新闻正文:
漏洞概要 关注数(3) 关注此漏洞
缺陷编号: WooYun-2015-140570
漏洞标题: E家洁某站SQL注入
相关厂商: 1jiajie.com
漏洞作者: her0ma
提交时间: 2015-09-12 09:23
公开时间: 2015-09-12 13:36
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 20
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: 40fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6G2L8%4W2#2L8W2)9J5k6h3!0J5k6H3`.`.
漏洞详情
披露状态:
2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
SQL注入,多库权限!
详细说明:
具体的注入点如下:
8b2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8S2N6r3q4Q4x3X3f1I4K9X3W2S2K9X3W2W2i4K6u0W2j5$3!0E0i4K6y4m8z5o6m8Q4x3V1k6A6i4K6u0W2M7r3S2H3i4K6y4r3j5g2)9K6c8o6R3H3x3e0m8Q4x3U0k6X3i4K6y4p5x3b7`.`. (POST)
password=e&username=*
username参数的问题,有多个库的权限,如图:
漏洞证明:
只是为了来点rank,没啥技术含量
就不继续深入进后台啥的了……
修复方案:
登录框注入,禁止拼接SQL。
来源: her0ma@乌云
新闻时间:2015-09-12 09:23
新闻正文:
缺陷编号: WooYun-2015-140570
漏洞标题: E家洁某站SQL注入
相关厂商: 1jiajie.com
漏洞作者: her0ma
提交时间: 2015-09-12 09:23
公开时间: 2015-09-12 13:36
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 20
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: 40fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6G2L8%4W2#2L8W2)9J5k6h3!0J5k6H3`.`.
披露状态:
2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
SQL注入,多库权限!
详细说明:
具体的注入点如下:
8b2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8S2N6r3q4Q4x3X3f1I4K9X3W2S2K9X3W2W2i4K6u0W2j5$3!0E0i4K6y4m8z5o6m8Q4x3V1k6A6i4K6u0W2M7r3S2H3i4K6y4r3j5g2)9K6c8o6R3H3x3e0m8Q4x3U0k6X3i4K6y4p5x3b7`.`. (POST)
password=e&username=*
username参数的问题,有多个库的权限,如图:
漏洞证明:
只是为了来点rank,没啥技术含量
就不继续深入进后台啥的了……
修复方案:
登录框注入,禁止拼接SQL。
来源: her0ma@乌云
|
|
|---|---|
