当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032077

漏洞标题:篱笆网的sql注入漏洞可读取大量内部人员账户信息

相关厂商:篱笆网

漏洞作者: 梧桐雨

提交时间:2013-07-24 12:00

修复时间:2013-09-07 12:00

公开时间:2013-09-07 12:00

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-24: 细节已通知厂商并且等待厂商处理中
2013-07-24: 厂商已经确认,细节仅向厂商公开
2013-08-03: 细节向核心白帽子及相关领域专家公开
2013-08-13: 细节向普通白帽子公开
2013-08-23: 细节向实习白帽子公开
2013-09-07: 细节向公众公开

简要描述:

一个小注入,代码没对参数过滤导致的

详细说明:

问题出在:video.liba.com 站点上。
注入url:http://video.liba.com/detail.php?f_id=3

5.jpg


拿工具跑吧

6.jpg


7.jpg

漏洞证明:

pass.png

修复方案:

过滤参数f_id 参数化查询。

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-07-24 13:58

厂商回复:

已安排相关人员处理

最新状态:

2013-07-24:已修复

漏洞评价:

评论

  1. 2013-07-24 12:00 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    我擦 - - 我也提交了 会不会是一样的 你几个注射点 我好几个

  2. 2013-07-24 12:01 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @M4sk 参数是一样的,没必要分开提交的。厂商过滤一个参数就能堵住几个注入点了。

  3. 2013-07-24 12:03 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    mark

  4. 2013-07-24 12:22 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    怎么你提交的都是SQL,就我XSS找半天没找到SQL

  5. 2013-07-24 12:31 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @ling 我擦 我也找到了xss 你提交没?

  6. 2013-07-24 12:32 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @梧桐雨 梧桐雨妹纸~ o(∩_∩)o

  7. 2013-07-24 12:38 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    @M4sk 提交了。昨天晚上11点提交的。不会一样吧?。

  8. 2013-07-24 12:39 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @ling 我没提交 ....

  9. 2013-07-24 12:43 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    @M4sk 你是那个地方?

  10. 2013-07-24 14:40 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @梧桐雨 @M4sk 修补之后来领的洞???为什么我没有挖到。。。

  11. 2013-07-24 17:12 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @篱笆网 如果已经修复了,能不能提前公开呢?

  12. 2013-07-24 17:16 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @Coody 刚刚短信说我提交的漏洞修复了 - - 结果我一看再试试...不说了 呵呵

  13. 2013-07-24 17:16 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @M4sk 刚刚短消息说我提交的漏洞修复了 - - 结果我一看再试试...不说了 呵呵

  14. 2013-07-24 17:18 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @M4sk 你当做不知道,把点告诉我,让我来。。。:)

  15. 2013-07-24 18:29 | 钝刀的老王 ( 路人 | Rank:2 漏洞数:2 | 挑水,你桶漏的;扫地,你扫不干净;刀钝了...)

    RANK 15,好高~~