当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024926

漏洞标题:新浪NBA直播继续存在sql盲注漏洞

相关厂商:新浪

漏洞作者: 甜菜病毒

提交时间:2013-06-04 14:19

修复时间:2013-07-19 14:19

公开时间:2013-07-19 14:19

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-04: 细节已通知厂商并且等待厂商处理中
2013-06-04: 厂商已经确认,细节仅向厂商公开
2013-06-14: 细节向核心白帽子及相关领域专家公开
2013-06-24: 细节向普通白帽子公开
2013-07-04: 细节向实习白帽子公开
2013-07-19: 细节向公众公开

简要描述:

新浪NBA直播继续存在sql盲注漏洞

详细说明:

新浪NBA直播继续存在sql
和上次差不多
难道没有修复
http://live.sina.cn/dpool/sports/live/live.php?match_id=2013042901&autoref=stop&oid=sina&vt=4 盲sql

漏洞证明:

不是历史数据 请重新检查

截图1.png

截图2.png

修复方案:

礼物

版权声明:转载请注明来源 甜菜病毒@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-06-04 16:18

厂商回复:

感谢对新浪安全的支持,我们马上修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-04 16:53 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    擦。。。不会还是我那个吧

  2. 2013-07-04 18:56 | →Hack涛 ( 普通白帽子 | Rank:158 漏洞数:55 | 好好学习,天天向上!)

    这个是什么扫描工具啊》楼主!

  3. 2013-07-04 19:20 | 甜菜病毒 ( 普通白帽子 | Rank:171 漏洞数:55 | 带你装逼 带你飞)

    胡萝卜

  4. 2013-07-04 19:21 | 甜菜病毒 ( 普通白帽子 | Rank:171 漏洞数:55 | 带你装逼 带你飞)

    @→Hack涛 胡萝卜

  5. 2013-07-04 20:13 | →Hack涛 ( 普通白帽子 | Rank:158 漏洞数:55 | 好好学习,天天向上!)

    @甜菜病毒 求下载地址!

  6. 2013-07-04 20:42 | 甜菜病毒 ( 普通白帽子 | Rank:171 漏洞数:55 | 带你装逼 带你飞)

    内部的

  7. 2013-07-04 21:22 | →Hack涛 ( 普通白帽子 | Rank:158 漏洞数:55 | 好好学习,天天向上!)

    @甜菜病毒 小气鬼喝凉水!呵呵

  8. 2013-07-04 21:44 | 甜菜病毒 ( 普通白帽子 | Rank:171 漏洞数:55 | 带你装逼 带你飞)

    @→Hack涛 发给你 你的qq多少

  9. 2013-07-04 22:16 | 流影 ( 路人 | Rank:15 漏洞数:12 | 做人低调点好)

    qq邮箱 138410504@qq.com洞主好人一生平安

  10. 2013-07-04 23:02 | →Hack涛 ( 普通白帽子 | Rank:158 漏洞数:55 | 好好学习,天天向上!)

    @甜菜病毒 496500954

  11. 2013-07-05 19:26 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)

    @→Hack涛 这胡萝卜- - 百度不是有很多么。

  12. 2013-07-05 21:06 | 甜菜病毒 ( 普通白帽子 | Rank:171 漏洞数:55 | 带你装逼 带你飞)

    你看哪里像胡萝卜

  13. 2013-07-06 00:03 | →Hack涛 ( 普通白帽子 | Rank:158 漏洞数:55 | 好好学习,天天向上!)

    @甜菜病毒 496500954@.qq.com发我邮箱吧!麻烦了!

  14. 2013-07-06 19:19 | 甜菜病毒 ( 普通白帽子 | Rank:171 漏洞数:55 | 带你装逼 带你飞)

    @→Hack涛 我发给流影 了 你给他要吧

  15. 2013-07-19 18:24 | IT8090 ( 路人 | Rank:0 漏洞数:1 | 专注技术与网络安全!)

    @流影 it8090@yeah.net 谢谢啦。

  16. 2013-07-23 21:08 | 残影小L ( 路人 | Rank:12 漏洞数:3 | 我还是我。)

    @流影 伸手。。。546655868@qq.com

  17. 2013-07-24 11:49 | 流影 ( 路人 | Rank:15 漏洞数:12 | 做人低调点好)

    @甜菜病毒 系统重装了 软件丢失

  18. 2013-07-24 12:36 | IT8090 ( 路人 | Rank:0 漏洞数:1 | 专注技术与网络安全!)

    @流影 邮箱里面应该还有吧//谢谢啦!

  19. 2013-07-24 19:05 | 甜菜病毒 ( 普通白帽子 | Rank:171 漏洞数:55 | 带你装逼 带你飞)

    @IT8090 @→Hack涛 有的

  20. 2013-07-24 19:09 | 流影 ( 路人 | Rank:15 漏洞数:12 | 做人低调点好)

    我这是接受xss的邮箱,一周前的信息自动清理掉了 不然几千个邮件受不了时间↓ 今天 Englishtown.com 7月24日 课题: A budding writer(5) - 在您的浏览器中查看该邮箱地址请点击此处 专业试听课,限时免费预约中! 到海外最令人向往的城市之一学 今天 12:15 PostMaster 来自foxmail.com的退信 - 很抱歉您发送的邮件被退回,以下是该邮件的相关信息: 被退回邮件主 题:回复:设计人才库网站欢迎您的加 今天 02:17昨天 (3 封) Jens Behnisch Important - Your eLearnSecurity E-Mail status - Dear Liu,You asked us, eLearnSecurity, to include you in our update-emails. We recently noticed tha 昨天 21:23 Bemo-XSS success! Bemo-XSS success! - 2013-07-23 10:50:50 AM = 211.155.80.38 User Agent: Mozilla/5.0 (compatible; Gglebot/1.01; +aqb_pre 昨天 18:50 campusedm@baidu.com 百度地图暑期有礼!购票选座立减10元!(3) - 退订通道请点击这儿 昨天 13:55星期一 (2 封) Bemo-XSS success! Bemo-XSS success! - 2013-07-22 9:17:28 AM = 61.158.240.71 User Agent: Mozilla/5.0 (compatible; Gglebot/1.01; +aqb_pref 7月22日 mailsender3 设计人才库网站欢迎您的加入 - 尊敬的 河北 7月22日星期日 (6 封) Bemo-XSS success! Bemo-XSS success! - 2013-07-21 8:57:12 AM = 119.97.153.9 User Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2 7月21日 Bemo-XSS success! Bemo-XSS success! - 2013-07-21 8:50:07 AM = 61.158.240.71 User Agent: Mozilla/5.0 (compatible; Gglebot/1.01; +aqb_pref 7月21日 Bemo-XSS success! Bemo-XSS success! - 2013-07-21 4:42:37 AM = 113.142.17.121 User Agent: Mozilla/5.0 (Linux; U; Android 2.3.7; zh-CN; DE 7月21日 Bemo-XSS success! Bemo-XSS success! - 2013-07-21 4:42:29 AM = 113.142.17.106 User Agent: Mozilla/5.0 (Linux; U; Android 2.3.7; zh-CN; DE 7月21日 Bemo-XSS success! Bemo-XSS success! - 2013-07-21 1:20:52 AM = 61.172.204.177 User Agent: Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; HU 7月21日 Bemo-XSS success! Bemo-XSS success! - 2013-07-20 16:43:43 PM = 202.105.176.43 User Agent: Mozilla/5.0 (Linux; U; Android 2.3.5; zh-cn; H 7月21日上周 (12 封) Bemo-XSS success! Bemo-XSS success! - 2013-07-20 11:42:41 AM = 119.97.153.9 User Agent: UNTRUSTED/1.0/HUAWEI T7320_TD/1.0 Release/10.08. 7月20日 Bemo-XSS success! Bemo-XSS success! - 2013-07-20 3:08:10 AM = 119.97.153.9 User Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2 7月20日 Bemo-XSS success! Bemo-XSS success! - 2013-07-19 16:56:02 PM = 183.61.32.60 User Agent: Mozilla/5.0 (iPhone; U; CPU iPhone OS 5_0 like M 7月20日 www@8e481c28-c632-4be6-81e7-5d9d22dc93d8 http://115.47.49.52/iProber2.php - This is a test mail! 7月19日 VC驿站 [VC驿站] VC驿站 - WwW.CcTry.CoM 欢迎您! - VC驿站 - WwW.CcTry.CoM 欢迎您! 尊敬的 liuying 您好,您已经成功注册为 VC驿站 的会员! VC驿站 - Ww 7月17日 邪恶八进制信息安全团队技术讨论组 [邪恶八进制信息安全团队技术讨论组] Email 地址验证 - lzskyline ,这封信是由 邪恶八进制信息安全团队技术讨论组 发送的。您收到这封邮件,是因为在我们论坛的 7月17日 Bemo-XSS success! Bemo-XSS success! - 2013-07-16 23:13:46 PM = 119.147.225.156 User Agent: Mozilla/5.0 (Linux; U; Android 4.1.2; zh-CN; 7月17日 Bemo-XSS success! Bemo-XSS success! - 2013-07-16 15:58:00 PM = 113.142.17.127 User Agent: Mozilla/5.0 (Linux; U; Android 2.3.7; zh-CN; D 7月16日 Bemo-XSS success! Bemo-XSS success! - 2013-07-16 15:51:39 PM = 119.147.225.95 User Agent: Mozilla/5.0 (Linux; U; Android 4.1.1; zh-CN; M 7月16日 Bemo-XSS success! Bemo-XSS success! - 2013-07-16 14:32:43 PM = 58.67.157.101 User Agent: Opera/9.80 (Android; Opera Mini/7.7.33843/30.34 7月16日 www-data Account lzskyline.arredemo.org details(2) - Dear Valued Customer,You have recently reactivated your account successfully, just incase you have 7月16日 arredemo.org noreply Arredemo.org account : lzskyline.arredemo.org Inactive - Dear Valued Customer,We are emailing you, to let you know your Arredemo.org account lzskyline.arred 7月16日