当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08056

漏洞标题:搜房网某存在严重漏洞可致所有地方分站被秒。

相关厂商:搜房网

漏洞作者: zeracker

提交时间:2012-06-08 12:21

修复时间:2012-06-08 16:44

公开时间:2012-06-08 16:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-08: 细节已通知厂商并且等待厂商处理中
2012-06-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我不知道你们怎么发现了。虽然被你们修复了,就昨天前天修复的吧。
俺打算攒一下的,就悲剧了。幸好我截图了。
果断继续发一下,不然你们肯定是小补大补,不改口令神马的。
危害还是很大的,做房地产的,数据是很有价值的,很多做黑产的多大爱。
我就无爱了。
不扯了。
见详情吧。。
20分,可秒杀绝大多数地方分站。几十个+有吧。

详细说明:

血案入口是developer_intro.php存在的问题。
致所有站点挂掉。
allinurl:site:focus.cn developer_intro.php?ID= 800多个哦。




http://cq.focus.cn/vote/developer_intro.php?ID=1548
root权限。







http://ts.focus.cn/vote/developer_intro.php?ID=90  唐山







http://sz.focus.cn/vote/developer_intro.php?ID=236 深圳







http://bd.focus.cn/vote/developer_intro.php?ID=59 保定
更多的看google吧。基本都能秒。

漏洞证明:

血案入口是developer_intro.php存在的问题。
致所有站点挂掉。
allinurl:site:focus.cn developer_intro.php?ID= 800多个哦。




http://cq.focus.cn/vote/developer_intro.php?ID=1548
root权限。







http://ts.focus.cn/vote/developer_intro.php?ID=90  唐山







http://sz.focus.cn/vote/developer_intro.php?ID=236 深圳







http://bd.focus.cn/vote/developer_intro.php?ID=59 保定
更多的看google吧。基本都能秒。

修复方案:

加强安全体系,国内绝大多数网站都以为自己修复了,就是很安全了的,口令都不改的。
不是没人知道,只是没人公布罢了。
所有希望通过这个,能够引起重视。
o(╯□╰)o。
QQ2036234
By:zeracker 301

版权声明:转载请注明来源 zeracker@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-06-08 16:44

厂商回复:

focus.cn是焦点网的域名

漏洞Rank:8 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2012-06-08 16:45 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我勒个去。搜狐焦点不是搜狐的吗?

  2. 2012-06-08 17:07 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    - - 表示http://www.wooyun.org/bugs/wooyun-2010-08074/trace/8a3bf6d73ce9d635735848d4b421d14b我也来了

  3. 2012-06-08 22:02 | xiaoshi ( 路人 | Rank:7 漏洞数:2 )

    敢不敢把工具发我邮箱里 2272331206#qq.com 嘿嘿