漏洞概要
关注数(24)
关注此漏洞
漏洞标题:联想某站点SA注射漏洞
相关厂商:联想
提交时间:2012-08-12 18:16
修复时间:2012-09-26 18:17
公开时间:2012-09-26 18:17
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-08-12: 细节已通知厂商并且等待厂商处理中
2012-08-13: 厂商已经确认,细节仅向厂商公开
2012-08-23: 细节向核心白帽子及相关领域专家公开
2012-09-02: 细节向普通白帽子公开
2012-09-12: 细节向实习白帽子公开
2012-09-26: 细节向公众公开
简要描述:
射了一个星期了,精疲力尽,实在不能进一步发展鸟
详细说明:
1.这个站点啦,联想移动电子商务系统哦,貌似和牛B的样子:
2.这里可以注射:
3.SA跑的呢:
漏洞证明:
4.可以跨多个库哦:
5.多个数据库账户的弱口令:
6.看下当前库【LMECOTHER】的表信息,在此之前已经有人来过了,留下了D99和pangolin的临时表哎:
修复方案:
版权声明:转载请注明来源 风萧萧@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-08-13 01:07
厂商回复:
thank you very much!
最新状态:
暂无
漏洞评价:
评论
-
2012-08-12 18:35 |
neal ( 普通白帽子 | Rank:219 漏洞数:23 )
-
2012-08-13 08:12 |
风萧萧 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
-
2012-08-13 08:13 |
风萧萧 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
-
2012-08-13 09:30 |
koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)