漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪某分站SQL注射漏洞(有350+W用户数)
相关厂商:新浪
提交时间:2012-08-03 21:02
修复时间:2012-09-17 21:02
公开时间:2012-09-17 21:02
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-08-03: 细节已通知厂商并且等待厂商处理中
2012-08-06: 厂商已经确认,细节仅向厂商公开
2012-08-16: 细节向核心白帽子及相关领域专家公开
2012-08-26: 细节向普通白帽子公开
2012-09-05: 细节向实习白帽子公开
2012-09-17: 细节向公众公开
简要描述:
sql注射,不解释了!
详细说明:
注射点:http://lady.weibo.com/eview.php?eid=8(不只这一个,自己找吧)
数据库里有200多张表,用户数量350+W。。。。。。
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-08-06 20:08
厂商回复:
多谢提供,再次声明此库中根本不保存和用户登陆、认证有关的信息。
最新状态:
暂无
漏洞评价:
评论
-
2012-08-03 21:05 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2012-08-03 21:16 |
zeracker 
( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2012-08-03 21:26 |
风萧萧 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
-
2012-08-03 21:29 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@zeracker 后台显示:“加入社区人数:350w+”,如果我没理解错的话,囧~~
-
2012-08-03 21:38 |
livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)
@se55i0n 350W+,sina帐号单点登录通用的,危害很大。
-
2012-08-03 22:23 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-08-03 22:39 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2012-08-03 23:33 |
FlyR4nk ( 普通白帽子 | Rank:119 漏洞数:18 )
-
2012-08-04 07:37 |
新浪(乌云厂商)
该数据库中根本不保存和用户登陆、认证有关的信息,请不要误导
-
2012-08-04 07:54 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2012-08-04 08:12 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-08-04 08:34 |
店小弎 ( 实习白帽子 | Rank:93 漏洞数:13 | 关注web安全)
-
2012-08-06 22:02 |
also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)
厂商回复:多谢提供,再次声明此库中根本不保存和用户登陆、认证有关的信息。 我想了解下,不跟用户有关,怎么一个sql注射就能15rk
-
2012-08-07 20:54 |
PiaCa ( 普通白帽子 | Rank:129 漏洞数:10 | 简单点!啪......嚓~~)
@also 后台开在外网,能直接通过SQL注入获取管理员账户和密码,所以值15分。
-
2012-09-17 21:40 |
冷静 ( 路人 | Rank:3 漏洞数:2 )
洞主应该把用户数据截图出来 -_- 我个人觉得新浪有拿rk堵洞主口的意思
-
2012-09-18 09:45 |
softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)
这么弱智的漏洞,程序员故意搞的吗?一点安全意识都没有,请对用户负责。
-
2012-09-18 12:37 |
Spy4man ( 路人 | Rank:0 漏洞数:1 | 职业运维师..)
@also 要是给低 了 又会说这么严重的注射啥的才那么点分,给15 又说高了!!!!
