OPPO主站注入漏洞 | wooyun-2013-019656| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-019656

漏洞标题：OPPO主站注入漏洞

漏洞作者：西门吹牛

提交时间：2013-03-06 23:21

修复时间：2013-04-20 23:22

公开时间：2013-04-20 23:22

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-03-06：细节已通知厂商并且等待厂商处理中
2013-03-07：厂商已经确认，细节仅向厂商公开
2013-03-17：细节向核心白帽子及相关领域专家公开
2013-03-27：细节向普通白帽子公开
2013-04-06：细节向实习白帽子公开
2013-04-20：细节向公众公开

简要描述：

主站首页注入漏洞（嘿嘿，凑个热闹而已）

详细说明：

index.php中name参数未过滤导致注入漏洞

漏洞证明：

修复方案：

过滤吧

版权声明：转载请注明来源西门吹牛@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2013-03-07 15:44

厂商回复：

谢谢对OPPO的关注，已经反馈给官网部门处理

漏洞评价：

2013-03-07 10:24 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

莫名其妙就又火了
2013-03-07 10:31 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

@xsser 求审核我提交的洞洞。。。。
2013-03-07 10:43 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@Coody 哪个
2013-03-07 10:45 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

@xsser http://www.wooyun.org/bugs/wooyun-2013-019669/trace/a543b4f025f1da517a0291c0fc3a66e4
2013-03-07 10:53 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@Coody 是以前的吧这哥们根本不补
2013-03-07 10:58 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

@xsser 求审核通过。。。赚取rank再说。。。
2013-03-07 11:16 | 西门吹牛 ( 实习白帽子 | Rank:48 漏洞数:5 | 吹牛啊吹牛)

@xsser 这哥们根本不补汗~ 顺手审核下这个 http://www.wooyun.org/bugs/wooyun-2013-019659/trace/fab0130bfa944819f4e493788a5d1aef
2013-03-07 11:23 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@西门吹牛日了这破厂商刷老子的rank
2013-03-07 13:42 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

@xsser 我看最近oppo的厂商也来认领过呀。。。
2013-03-07 15:53 | 广东欧珀移动通讯有限公司(乌云厂商)

感谢大家对OPPO的关注，在网络安全这一块我们的确还做得很不够，以前的官网以及很多活动网站都是外包出去做的，可能存在较多问题，现在接手的人员对系统不够熟悉，但都尽量在改正问题。
2013-03-07 15:58 | 广东欧珀移动通讯有限公司(乌云厂商)

@xsser 添麻烦了，我再联系下相关部门修补漏洞,尽量给洞主们争取些小礼物。
2013-03-07 16:01 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@广东欧珀移动通讯有限公司是的是的快修复了吧... 要不申请个手机啥的让大家帮你全fix上
2013-03-07 16:44 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

@广东欧珀移动通讯有限公司哈哈，一个礼物至少消灭一个漏洞：）
2013-04-08 10:44 | kimdle ( 路人 | Rank:0 漏洞数:1 | @kimdle)

@西门吹牛求源码！可付费！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-019656

漏洞标题：OPPO主站注入漏洞

相关厂商：广东欧珀移动通讯有限公司

漏洞作者：西门吹牛

提交时间：2013-03-06 23:21

修复时间：2013-04-20 23:22

公开时间：2013-04-20 23:22

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源西门吹牛@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-019656

漏洞标题：OPPO主站注入漏洞

相关厂商：广东欧珀移动通讯有限公司

漏洞作者： 西门吹牛

提交时间：2013-03-06 23:21

修复时间：2013-04-20 23:22

公开时间：2013-04-20 23:22

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-019656"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 西门吹牛@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：西门吹牛

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源西门吹牛@乌云