漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯旅游频道注入/以及后台/数据库泄漏
相关厂商:腾讯
漏洞作者: 疯子
提交时间:2012-05-16 16:44
修复时间:2012-05-16 18:03
公开时间:2012-05-16 18:03
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-05-16: 细节已通知厂商并且等待厂商处理中
2012-05-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
腾讯旅游频道注入/以及后台/数据库泄漏
不知道这个旅游频道还是腾讯的不 看了看 好久之前有人公布 都忽略
详细说明:
采用的PHPCMS2008
PHPCMS2008 已经在很早之前有公布过注入 不过你们没有修复
地址查看:http://www.exploit-db.com/exploits/16019/ 漏洞信息地址
导致 数据客户数据丢失
以及后台泄漏
漏洞证明:
注入点:http://www.itravelqq.com/flash_upload.php?modelid=1
后台:http://www.itravelqq.com/admin.php?mod=phpcms&file=login
如果你们觉得这个旅游频道还是你们腾讯官方的 请修复
谢谢
修复方案:
版权声明:转载请注明来源 疯子@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-05-16 18:03
厂商回复:
非常感谢您的报告
腾讯早已结束跟此站点的合作关系,我们不再接受其上的安全事件处理。
漏洞Rank:9 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论
-
2012-05-16 16:57 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2012-05-16 16:57 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
@zeracker 好吧 我蛋疼了。 百度腾讯旅游 第一个是他 http://www.itravelqq.com
-
2012-05-16 17:00 |
一粒米 ( 路人 | Rank:4 漏洞数:2 | null)
-
2012-05-16 17:02 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
-
2012-05-16 17:21 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@zeracker @疯子 应该是腾讯的地方站,登陆情况下该站点有用户的登陆状态
-
2012-05-16 17:26 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
@xsser lake2 说不是他们的捏 如果是phpcms的问题还不是要推给盛大的人。之前见识过了。
-
2012-05-16 17:27 |
斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:41 | 我在这头,你在那头~)
@zeracker 腾讯网旅游频道运营商:北京阳光远波文化传媒有限公司
-
2012-05-16 17:40 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
@zeracker 尼玛,习惯就好 希望这次让腾讯关注一点。腾讯旅游的数据不少
-
2012-05-16 18:15 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
@腾讯 那你们不觉得 他们应该取消 腾讯旅游吗? 还有腾讯的标志,那样会误导别人的 ,你们的回复也太给力了吧
-
2012-05-16 18:19 |
斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:41 | 我在这头,你在那头~)
尼玛这怎么回事?难道他们不知道QQ在线的话登录这网站右上角的微博也会跟着登录么?
-
2012-05-16 18:38 |
斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:41 | 我在这头,你在那头~)
-
2012-05-16 18:55 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-05-16 19:23 |
Mr,prince ( 普通白帽子 | Rank:126 漏洞数:12 | 一只小菜鸟。)
-
2012-05-16 19:26 |
%27 ( 路人 | Rank:13 漏洞数:3 | )
-
2012-05-16 19:40 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2012-05-16 20:22 |
斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:41 | 我在这头,你在那头~)
@xsser 像这类不属于提交的厂商的漏洞,个人认为应纳入到待认领流程。
-
2012-05-16 22:58 |
一粒米 ( 路人 | Rank:4 漏洞数:2 | null)
@斯文的鸡蛋 支持,忽略的时候应该要有选项,如果属于自己的已经修复了忽略就公开,对于不属于自己的,忽略就进入待审核。
-
2012-05-17 10:41 |
LinuxPad ( 实习白帽子 | Rank:34 漏洞数:1 | LinuxPad@AdLab.Venus)
-
2012-05-17 11:11 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
@LinuxPad 以前是的 现在不是了 呵呵 腾讯都说了 解除了,怎么可能放他站点 哎