当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022342

漏洞标题:搜狗寻人SQL注入漏洞

相关厂商:搜狗

漏洞作者: 7z1

提交时间:2013-04-23 08:55

修复时间:2013-06-07 08:55

公开时间:2013-06-07 08:55

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-23: 细节已通知厂商并且等待厂商处理中
2013-04-23: 厂商已经确认,细节仅向厂商公开
2013-05-03: 细节向核心白帽子及相关领域专家公开
2013-05-13: 细节向普通白帽子公开
2013-05-23: 细节向实习白帽子公开
2013-06-07: 细节向公众公开

简要描述:

搜狗寻人存在SQL注入漏洞

详细说明:

无意间打开了搜狗寻人页面,发现存在SQL注入漏洞……
附图:

x.jpg


http://help.sogou.com/urlth.php

漏洞证明:

受影响的脚本文件:
http://help.sogou.com/hd/personfind/one.php
http://help.sogou.com/hd/personfind/main.php
http://help.sogou.com/prize/captcha.php
另外还有应用程序错误信息:
http://help.sogou.com/urlth.php

修复方案:

还是过滤过滤~~~

版权声明:转载请注明来源 7z1@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-04-23 11:19

厂商回复:

修复中。。。灾情紧急,各位手下留情啊

最新状态:

暂无

漏洞评价:

评论

  1. 2013-04-23 08:57 | hacx ( 实习白帽子 | Rank:52 漏洞数:6 )

    ...

  2. 2013-04-23 09:04 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    这个时候大家就别再挖洞了,给大家一点信息通道,好救人!

  3. 2013-04-23 09:12 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @围剿 中!但是我们这么想,有的不一定这么想,不小心挖到就发出来,及时修补,以防其他人,你懂的。

  4. 2013-04-23 09:16 | clzzy ( 普通白帽子 | Rank:176 漏洞数:18 )

    二楼说的对,我是四川的

  5. 2013-04-23 09:19 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    挖洞是必要的,救人也是必要的,希望能挖洞的同时不要影响救人的正常业务就好。

  6. 2013-04-23 10:05 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    居然还有人去发xss,受不了

  7. 2013-04-23 10:19 | 7z1 ( 实习白帽子 | Rank:94 漏洞数:14 | 黑客:探险家、网络中的幽灵、用技术捍卫正...)

    @Defa 哪个sb那么损..............

  8. 2013-04-23 10:20 | koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)

    挖洞是必要的,救人也是必要的,希望能挖洞的同时不要影响救人的正常业务就好。

  9. 2013-04-23 10:22 | 7z1 ( 实习白帽子 | Rank:94 漏洞数:14 | 黑客:探险家、网络中的幽灵、用技术捍卫正...)

    @koohik 就怕玩xss的影响正常业务呢~ 俺们不破坏才来提交~~ 搜狗不修复的话,不知道后有多大的影响……

  10. 2013-04-23 10:22 | Liuk3r ( 实习白帽子 | Rank:90 漏洞数:10 | 习惯了一个人的生活,变得沉默、变得冷落、...)

    挖了洞 自己往里跳

  11. 2013-04-23 10:37 | koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)

    @7z1 这不地震么,影响到正常业务就不好了。

  12. 2013-04-23 10:47 | 7z1 ( 实习白帽子 | Rank:94 漏洞数:14 | 黑客:探险家、网络中的幽灵、用技术捍卫正...)

    @koohik 没玩xss,点到为止。不知道谁搞了。。太损了~

  13. 2013-04-23 11:29 | koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)

    修复中。。。灾情紧急,各位手下留情啊

  14. 2013-04-23 11:33 | 搜狗(乌云厂商)

    @Defa 哪个页面被xss了,麻烦提供一下,感谢!

  15. 2013-04-23 12:17 | ( 路人 | Rank:17 漏洞数:4 | 想...想活捉一枚处男...ing...)

    抠脚大汉?泥马勒戈壁

  16. 2013-04-23 13:39 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    @搜狗 刚看到一个来自谷歌寻人的信息,你懂滴

  17. 2013-04-23 17:17 | 搜狗(乌云厂商)

    @Defa 明了,感谢

  18. 2013-04-23 17:39 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    @7z1 我也不知道谁,无意中看到滴