当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023076

漏洞标题:优米网sql注射漏洞(40余万会员详细信息可脱裤)

相关厂商:优米网

漏洞作者: z@cx

提交时间:2013-05-04 16:52

修复时间:2013-06-18 16:52

公开时间:2013-06-18 16:52

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-04: 细节已通知厂商并且等待厂商处理中
2013-05-04: 厂商已经确认,细节仅向厂商公开
2013-05-14: 细节向核心白帽子及相关领域专家公开
2013-05-24: 细节向普通白帽子公开
2013-06-03: 细节向实习白帽子公开
2013-06-18: 细节向公众公开

简要描述:

优米网sql注射漏洞(40余万会员信息可脱裤)

详细说明:

http://mili.umiwi.com/profile/?short_name=187528&type=9&vid=26361


Current User: 	mili_online@192.168.19.166
Sql Version: 5.5.15-log
Current DB: mili_online
System User: mili_online@192.168.19.166
Host Name: DB_1
Installation dir: /opt/mysql
DB User: 'mili_online'@'192.168.19.166'
Data Bases: information_schema
mili_online
test


tables

adminlog	
announcement
article
articletag
audience
eduinfo
favorite
feedback
growup
hmrlee
hyonghe
id_genter
img
milier
newqa
notes
report
sessions
setting
tag
tutor_inactive
tutor_record
tutor_video
tutors
tutortags
uc_members
userinfo
vipalbum
visit
workinfo


漏洞证明:

402809名会员信息泄漏额。。。

Count(*) of mili_online.uc_members is 402809

修复方案:

过滤额!!!!

版权声明:转载请注明来源 z@cx@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-05-04 18:46

厂商回复:

感谢z@cx 的反馈,问题已经解决!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-11-26 12:18 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:173 | ...........................................)

    请问你这个是用什么工具测试的,交流下,谢谢~

  2. 2014-08-28 19:45 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:49 | 工作需要,暂别一段时间)

    同问