漏洞概要
关注数(24)
关注此漏洞
漏洞标题:OPPO多处SQL注入,用户数据及管理员密码测漏
提交时间:2013-06-17 17:30
修复时间:2013-08-01 17:30
公开时间:2013-08-01 17:30
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-06-17: 细节已通知厂商并且等待厂商处理中
2013-06-18: 厂商已经确认,细节仅向厂商公开
2013-06-28: 细节向核心白帽子及相关领域专家公开
2013-07-08: 细节向普通白帽子公开
2013-07-18: 细节向实习白帽子公开
2013-08-01: 细节向公众公开
简要描述:
还不能求个礼物么。。。
详细说明:
①为post注入
id这个参数
利用WVS返回的信息和sqlmap注入
WVS返回信息
②post注入
username这个参数
利用Burpsuite配合Sqlmap注入
③get注入
name这个参数
之前别人提交过q后为mp3的注入,但是q=ebook的没有修复
④
sortby这个参数
不要只修复这一个页面,model后各种手机型号的页面 都存在注入
漏洞证明:
①②
这个是用户数据吧
③
④
修复方案:
版权声明:转载请注明来源 海绵宝宝@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2013-06-18 15:29
厂商回复:
谢谢对OPPO的关注
最新状态:
暂无
漏洞评价:
评论
-
2013-06-18 22:20 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2013-06-18 23:27 |
海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)
-
2013-06-19 12:25 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)