当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010356

漏洞标题:很火的XX手机官方网站和商城 SQL漏洞 涉及超过30000用户所有资料

相关厂商:上海青橙

漏洞作者: 爱上平顶山

提交时间:2012-08-09 10:06

修复时间:2012-09-23 10:07

公开时间:2012-09-23 10:07

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-09: 细节已通知厂商并且等待厂商处理中
2012-08-09: 厂商已经确认,细节仅向厂商公开
2012-08-19: 细节向核心白帽子及相关领域专家公开
2012-08-29: 细节向普通白帽子公开
2012-09-08: 细节向实习白帽子公开
2012-09-23: 细节向公众公开

简要描述:

很火的XX手机官方网站和商城 SQL漏洞 涉及超过30000用户所有资料。。。

详细说明:

青橙管理:
你好
首先说一下 无意间的一次检测 望您海涵
老婆的手机坏了 就上京东看看 看到了你们的M1 蛮适合女孩用 呵。。 就拍了一个



顺便看看你们的网站
然后就有了下面的一幕。。。

漏洞证明:

声明说一下:我不是职业的 所以对脱裤啥的没有兴趣 我也只是一个公司管理网站的小职员而已 出于职业的敏感 检测了一下 就发现了严重的问题。。。
我觉得你们的M2很不错 不知道能不能那这个洞换一个M2 也算是留念,以前这位仁兄: WooYun: 小米电商网站认证服务第三方劫持漏洞 他是第一个提出小米漏洞的 有了今天的小米 我相对于青橙而言 我也是第一个 希望有一天青橙有小米一样的成就。
直接上图 简单明了:























PS:这样简单明了 。。。

修复方案:

你们的网站管理应该可以搞定吧 如果确实不行 我免费帮你们解决 你们有我的联系方式
顺便说一下,我是被你们的客服逼来的。。。





最后:我觉得你们的M2很不错 不知道能不能那这个洞换一个M2 也算是留念吧【我觉得值 这个洞目前为止 没有人发现 应该值吧】

版权声明:转载请注明来源 爱上平顶山@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2012-08-09 10:18

厂商回复:

感谢爱上平顶山发现这个漏洞,谢谢

最新状态:

暂无


漏洞评价:

评论

  1. 2012-07-30 14:22 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    上海青橙实业有限公司 哥们你暴漏了 @爱上平顶山

  2. 2012-09-11 13:48 | 神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

    其实最后到底有没换到手机啦~

  3. 2012-09-13 09:27 | enter ( 路人 | Rank:22 漏洞数:4 | 127.0.0.1)

    给了没有

  4. 2012-09-23 13:02 | adwin ( 普通白帽子 | Rank:112 漏洞数:11 | 小菜请多指教。)

    就是,大家关系的是手机。。。

  5. 2012-09-23 14:04 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    肯定不会给的,不然这网站还会被检测很多次