漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪微博注册首页SQL注入
相关厂商:新浪
提交时间:2011-10-10 01:57
修复时间:2011-10-11 19:38
公开时间:2011-10-11 19:38
漏洞类型:SQL注射漏洞
危害等级:低
自评Rank:3
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2011-10-10: 细节已通知厂商并且等待厂商处理中
2011-10-11: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
地址一:http://weibo.com/signup/students.php?lang=zh-cn&entry=weiyonghu&url=http://weibo.com/dichan
地址二:http://weibo.com/signup/signup.php?lang=zh-cn
详细说明:
本来只有地址一有注入点不过检测地址一的时候跳出地址二的入口也有注入点,所以一并提上来了。会经常跳数据库access表段字段多难检测的问题基本不大,跳到MYsql就会出现SA跟DB_owner可以跨出数据库,不过你数据库名弄那么长基本上很难跨出。
地址一:http://weibo.com/signup/students.php?lang=zh-cn&entry=weiyonghu&url=http://weibo.com/dichan
地址二:http://weibo.com/signup/signup.php?lang=zh-cn
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-10-11 19:38
厂商回复:
最新状态:
2011-10-11:误报
漏洞评价:
评论
-
2011-10-10 08:11 |
liner ( 普通白帽子 | Rank:165 漏洞数:27 )
-
2011-10-10 08:29 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2011-10-10 16:22 |
风云 ( 路人 | 还没有发布任何漏洞 | 简要介绍)
-
2011-10-10 19:39 |
QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)
-
2011-10-10 20:12 |
tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)
-
2011-10-10 20:29 |
黑小子 ( 路人 | Rank:7 漏洞数:1 | 专注于web领域 关注网络安全!)
-
2011-10-10 20:37 |
Ra1nker ( 路人 | 还没有发布任何漏洞 | TeST)
-
2011-10-10 22:08 |
夜。缠绵、 ( 路人 | Rank:5 漏洞数:2 )
就算工具党也比你这伸手党好。随便提交我半夜三更闲着没事时间多上那么多图?有本事的人我不说他,没本事的人我就觉得你没资格评论别人。
-
2011-10-11 11:21 |
1cefish ( 实习白帽子 | Rank:47 漏洞数:12 | 作为一个到处漂泊了5年的SB 表示黑客无处不...)
-
2011-10-11 14:42 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2011-10-11 14:42 |
凡客诚品(乌云厂商)
-
2011-10-11 19:54 |
QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)
-
2011-10-11 21:42 |
小鱼儿 ( 路人 | Rank:5 漏洞数:2 | Know It Then Hack It)
在订阅消息里面看到这条信息,猛然起劲。不由的肃立起敬。。。但是点开网页,仔细看了里面的内容以后。。无比的蛋疼。。。
-
2011-10-11 21:50 |
QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)
-
2011-10-11 23:26 |
Surp4ss ( 路人 | Rank:2 漏洞数:2 | 不以风骚惊天下,就以淫荡动世人。)
-
2011-10-11 23:38 |
popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)
对于这种不入库的变量,也能注入,那我就很佩服LZ了~
-
2011-10-12 01:44 |
zhuowater ( 路人 | Rank:15 漏洞数:2 | 程序员一枚,求妹子一枚)
-
2011-10-12 02:06 |
t00000by57 ( 实习白帽子 | Rank:45 漏洞数:5 | Access Denied.)
没人去指出其中的错误 倒是冷嘲热讽的“大牛”看到不少
-
2011-10-13 01:33 |
pg5yl8 ( 实习白帽子 | Rank:91 漏洞数:12 | 我神马都不会 但我常常被人日 这是为神马呢)
-
2011-10-13 10:13 |
rayh4c ( 普通白帽子 | Rank:240 漏洞数:23 )
关键是lang=zh-cn这个参数的注入,程序员一般会将这个设成一个数据库查询的条件,楼主还得多看看WEB程序,理解下WEB程序的一些常规逻辑。
-
2011-10-14 15:51 |
坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)
-
2011-10-14 22:41 |
帅气凌云 ( 普通白帽子 | Rank:314 漏洞数:60 | 弱点扫描{Www.VulScan.CN} 为网站健康检查...)