漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-035087
漏洞标题:深圳万利达教育电子有限公司SQL注射进后台(大量会员资料泄露及数据库可下载)
相关厂商:深圳万利达教育电子有限公司
漏洞作者: niliu
提交时间:2013-08-23 16:39
修复时间:2013-10-07 16:40
公开时间:2013-10-07 16:40
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-10-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
大量会员资料泄露,数据库可下载,密码明文存储!
详细说明:
万利达下载站:
注入点:
3个管理员
md5解密,发现admin和wld—_911都收费,wld_d****i提示未查到,直接尝试用户名wld_d****i和密码wld_d****i登陆成功!
后台地址:
直接泄露所有会员及代理商的用户名,密码(明文存储),邮箱,地址等等
下载站,里面绑个马后果很严重!
数据库可直接下载!
漏洞证明:
如上图
修复方案:
过滤以及密码修改,后台地址禁止外网访问!
求个小礼物~
版权声明:转载请注明来源 niliu@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝