漏洞概要
关注数(24)
关注此漏洞
漏洞标题:搜狐某应用某功能存在SQL注入,通杀全国站点
提交时间:2013-03-27 10:22
修复时间:2013-05-11 10:22
公开时间:2013-05-11 10:22
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-03-27: 细节已通知厂商并且等待厂商处理中
2013-03-27: 厂商已经确认,细节仅向厂商公开
2013-04-06: 细节向核心白帽子及相关领域专家公开
2013-04-16: 细节向普通白帽子公开
2013-04-26: 细节向实习白帽子公开
2013-05-11: 细节向公众公开
简要描述:
看了道哥的黑板报,我觉得我没接触过安全,因为我没有一个裤子!
搜狐,如果你们觉得漏洞不重要可以继续忽略,哥就把该应用全国的裤子都收了!剑心,你收裤子不?
详细说明:
存在问题的应用为搜狐的焦点房产网,全国所有焦点房产网的vote功能都存在注入!
1)仅仅举一个例子,测试站点:http://ts.focus.cn/vote/developer_intro.php?ID=90
2)测试下数据库用户什么权限,自己看吧;
3)站点数据库;
4)随便找个库跑下表;
5)哥又检测了一些站点,肯定全国各地的焦点房产网都存在同样的问题;
PS:剩下的你们自己去测试吧!
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-03-27 10:39
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2013-03-27 18:25 |
x1aoh4i ( 普通白帽子 | Rank:403 漏洞数:62 )
-
2013-04-26 12:10 |
偉哥 ( 实习白帽子 | Rank:67 漏洞数:11 | 哥是没帽子)